大禹高防最佳部署实践

大禹高防产品由于其功能特点,一般都是置于业务入口处,业务对高防产品的接入质量较为敏感.同时因为客户业务的多样性,在各个场景下大禹产品的最佳接入方案也成为部署架构中的重要一环,该文章将对常见业务部署架构下高防产品接入的最佳实践做个说明.

一、高防产品对比说明

首先,我们针对大禹当前在售卖的两种高防产品做个对比说明

图中的内容，概况起来就是以下几点结论：

1. 如果需要防护的源站在腾讯云上：在防护能力满足要求的前提下，优先使用高防包进行防护
2. 如果使用高防IP作为接入方案时，需对业务接入质量和可用性进行有效测试后再接入
3. 在高防IP接入的场景下，如有获取客户端IP的需求，请先查阅官网文档了解相应的解决方案：【4层参考】【7层参考】
4. 在支持防护的攻击类型和防护功能配置上,两者几乎没有差别（高防包由于没有卸载ssl证书能力，无法对https流量进行防护）

二、各场景下最佳接入实践

接下来，我们针对云上常见的接入场景，梳理下高防产品的最佳使用实践.

场景一：CDN/GAAP + 源站

场景分析:

这类业务场景的共同点是业务入口处为了提高访问质量都会接入加速产品,如CDN/GAAP等.在这种业务场景下,对ddos的防护方案建议遵循的原则是在不损失业务接入质量的情况下实现DDOS防护能力,可以概括为以下3点:

• 优先考虑使用接入产品自带的ddos防护方案,如CDN产品的SCDN解决方案
• 其次考虑使用高防包产品对业务接入IP进行防护
• 不建议使用高防IP进行防护,因高防IP的介入会增加访问延迟,需测试接入质量后再使用

最佳实践架构图:

加速场景下

场景二: 4/7层业务 (无加速)+ 源站

场景分析:

此类业务场景的特点是业务无加速需求,这种场景下高防产品直接在业务访问入口处进行加固.

在高防产品的选择上仍然是:优先选择高防包,在防护能力不足的情况下考虑高防IP.主要是出于访问质量和减少故障点的考虑

最佳实践架构图:

无加速场景下

tips:使用高防IP时需提前测试业务是否适配以及访问质量,特别是使用三网高防IP的场景

大禹的智能调度功能

功能背景:

很多用户在使用高防时会有梯度化防护的需求,比如优先使用高防包进行防护,再用大防护能力的高防IP进行兜底.

这种情况下涉及到一个问题:当第一梯度的防护产品因大流量攻击被封堵时,是否有方案自动切换到下一梯度的防护产品.答案是有的,当前大禹的智能调度功能即可实现此类需求.

功能说明:

智能调度会分配一个cname域名,其可配置多个高防对象(包括高防包和高防IP)的解析;这些高防对象可配置优先级来确定生效级别.默认智能解析的域名会解析到优先级最高的高防对象,当最高优先级对象发生封禁时,智能调度会自动将解析到下一较低优先级级别的高防产品,以此类推.

接入使用方式:

1. 控制台点击“智能调度”栏的“新建调度”,创建一个新域名
2. 点击右侧的“配置”,来配置此cname域名绑定的高防资源对象,并配置优先级
3. 将业务域名的cname记录配置到智能调度创建的域名上

详细说明可参考:https://cloud.tencent.com/document/product/1014/44116