举例:配置本地清洗中心与华为云高防联动防御(NAT server 网站)

当出现超大流量且超出本地清洗能力范围的DDoS攻击,用户可通过提前配置本地清洗中心与华为云高防联动防御,把超大攻击流量调度至华为云高防清洗中心完成防护,保护业务安全。

华为云高防规格说明

项目

参数

线路

电信、联通、移动。

说明:

移动、联通不支持海外用户。目前,仅电信支持海外用户。

时延

按区域多机房智能DNS调度,调度后业务访问时延平均增加小于50ms。

单台AntiDDoS设备

  • 每台AntiDDoS设备可同时监控5个防护IP高防。

  • 每个华为云账户可并发1个IP地址高防调度清洗服务。

    说明:

    最先遭受攻击的IP先调度,如果再有IP流量达到调度阈值就无法调度。

  • 一年最多调度50次,被防护的服务器的域名需要在工信部进行ICP备案。

  • 一个IP限于提供20个业务端口。

高防服务支持类型

  1. 支持邮件服务器的CNAME调度和通过NAT server 访问的门户网站。

  2. 支持按域名方式提供服务的门户网站、邮件服务器、企业应用。

高防服务限制

不支持NAT网关 IP、DNS服务器IP、CDN IP调度防护。

组网需求

  1. 攻击流量未到设定的切换阈值(未超出本地清洗中心能力)时,采用本地清洗中心进行防御。本地清洗中心清洗完成后,将清洗后的正常业务流量返回至主用IP地址。

  2. 攻击流量达到设定的切换阈值(超出本地清洗中心能力)时,流量被联动调度至华为云高防清洗中心,采用华为云高防清洗中心进行防御。

  3. 华为云高防清洗中心完成清洗后,将清洗后的正常业务流量返回至备用IP地址。实现云上和云下DDOS攻击的立体协同防御。

前提条件

已经购买华为云高防联动防护功能(抗D险),并获得license。

业务规划

配置过程

  1. 加载License。
    <sysname> system-view
[sysname] license active License.dat
  2. 注册华为云账号。
    1. 登录华为云官方网站。在浏览器中输入华为云官方网站地址https://www.huaweicloud.com/,按“Enter”
    2. 点击“注册”。在注册页面,根据界面提示填写和配置信息。
    3. 点击“同意协议并注册”,完成注册。
  3. 登录ATIC管理中心,在ATIC创建防护对象(本步骤仅讲述关键步骤)。详细步骤请参考创建防护对象。
    1. 在“创建防护对象”对话框的“IP地址”页签中,配置IP地址。

    2. 在对话框的“设备”页签中,添加AntiDDoS防护设备。

    3. 点击“部署”后,部署状态为“部署成功”。完成创建防护对象。

  4. (可选项)调整防护对象的告警分级入流量阈值。“黑洞阈值 (Mbps)”要高于告警分级中紧急级别的“入流量(Mbit/s)”阈值。
  5. 配置华为云高防防御身份验证。
    1. 选择“防御 > 策略配置 > 云清洗 > 华为云高防”。
    2. 在“华为云高防”界面,单击“高防防御身份验证”。
    3. 在“华为云高防防御身份验证”对话框,配置身份验证信息。

      参数

      取值建议

      登录URL

      缺省为:https://iam.cn-north-1.myhuaweicloud.com/v3/auth/tokens

      2019年9月6日00:00:00点之前注册的华为云用户请输入:“https://iam.cn-north-1.myhuaweicloud.com/v3/auth/tokens”

      2019年9月6日00:00:00点之后注册的华为云用户请输入:“https://iam.cn-north-4.myhuaweicloud.com/v3/auth/tokens”

      账号名

      输入注册的华为云账号。

      须知:

      修改“华为云高防防御身份验证”对话框内的“用户名”,会造成已有的高防配置失效。因此,如果您需要切换账号,需要手工删除已有的高防配置,并在切换后的账号上重新配置高防策略。

      密码

      输入注册的华为云账号的密码。

      租户名

      输入注册的华为云账号。

      区域名/地域名

      2019年9月6日00:00:00点之前注册的华为云用户请输入:“cn-north-1”

      2019年9月6日00:00:00点之后注册的华为云用户请输入:“cn-north-4”

      高防URL

      输入:“https://aad.myhuaweicloud.com/”

      华为云证书

      点击下拉框选择证书。

      说明:

      配置此项前,需要先手动下载并创建华为云证书。下载和创建证书请参见证书管理

      当“登录URL”为“https://iam.cn-north-1.myhuaweicloud.com/v3/auth/tokens”,华为云证书下载链接请使用:“https://iam.cn-north-1.myhuaweicloud.com/”

      当“登录URL”为“https://iam.cn-north-4.myhuaweicloud.com/v3/auth/tokens”,华为云证书下载链接请使用:“https://iam.cn-north-4.myhuaweicloud.com/”

      高防证书

      点击下拉框选择证书。

      说明:

      配置此项前,需要先手动下载并创建高防证书。下载和创建证书请参见证书管理

      华为云高防证书下载链接请使用:“https://aad.myhuaweicloud.com/”

    4. 点击“确定”。完成验证。

  6. 配置添加高防防御配置。

    1. 选择“防御 > 策略配置 > 云清洗 > 华为云高防”。

    2. 单击“创建”按钮,在“添加高防防御配置”对话框中配置基本信息。

      参数

      说明

      防护IP

      输入目的IP地址,支持IPv4。

      名称

      输入用户公司名称。

      域名

      输入防护的域名。

      区域

      从下拉列表中选择区域。

      防护IP线路

      从下拉列表中选择线路,目前支持的线路有:联通、移动、电信、BGP。

      TCP端口

      请输入端口,多个端口请用“,”隔开;最多输入20个端口;端口范围[1~65535]。

      UDP端口

      请输入端口,多个端口请用“,”隔开;最多输入20个端口;端口范围[1~65535]。

      备份IP

      输入目的IP地址,支持IPv4格式。

      切换阈值

      当设备入流量达到配置的阈值时,切换华为云高防服务。缺省值为1000Mbps,取值范围为1~200000。

      切换高防防御方式
      • 手动:当流量超过阈值,需要管理员手动切换高防防御方式。
      • 自动:当流量超过阈值,自动切换高防防御方式。

      回切线下防御方式
      • 手动:高防防御状态下,管理员需要手动回切到线下防御。
        说明:

        当攻击停止后,建议回切到线下防御。

      DNS快速刷新

      用户使用购买的华为云DDoS高防服务信息配置“高防防御身份验证”后,显示此项。

      • 手动:当切换到高防防御后,需要手动点击“DNS快速刷新”,进行刷新。

      • 自动:当切换到高防防御后,自动进行DNS快速刷新。

      设备

      从下拉列表中选择网元。

      过期时间

      选择华为云高防联动防护功能(抗D险)的设备后显示此项,并自动填充与抗D险License过期日期一致的时间。

    3. 点击“确定”。

  7. 获取高防CNAME,将DNS A记录修改为CNAME。

    若与现在记录冲突,请删除冲突的DNS A记录,再重新添加CNAME。

    1. 选择“防御 > 策略配置 > 云清洗 > 华为云高防”。

    2. 复制CNAME。

    3. 到您的DNS服务商处,添加记录集。将域名的DNS A记录修改为CNAME值。

  8. (可选项)配置电信云堤执行秒级黑洞。详细步骤请参考电信云堤执行黑洞

    1. 电信云堤服务属于第三方。配置电信云堤执行秒级黑洞,需要先从电信服务商购买。

    2. 不配置此项:如果攻击不停止,则攻击流量会持续流向“防护IP”,拥塞本地网络带宽的入口。

  9. 查看报表。

    1. 选择“报表 > 专项报表 > 流量分析”。

    2. 选择“华为高防流量”页签。输入查询参数。

      表2 表2 查询参数

      参数

      说明

      防护IP

      输入防护的IP地址10.2.2.2。

      时间

      配置查询的开始时间和结束时间。

    3. 单击“查询报表”,即可查看报表。流量报表如图1所示。

      图1 指定防护IP的入流量和攻击流量

切换到华为云高防防御

  1. 手动切换。

    无论“切换高防防御方式”是选择自动还是手动,都可通过手动方式,从本地清洗中心切换到华为云高防防御。

    1. 选择“防御 > 策略配置 > 云清洗 > 华为云高防”。

    2. 勾选防护IP左侧复选框,单击“启用高防联动”。并在弹出的对话框单击“确定”。完成从本地清洗中心手动切换到华为云高防防御。

  2. 自动切换。

    1. 选择“防御 > 策略配置 > 云清洗 > 华为云高防”

    2. 点击右侧“操作”栏中的,在“编辑高防防御配置”对话框内,“切换高防防御方式”选为“自动”。

    3. 单击“确定”。完成自动回切。当攻击流量达到“调度阈值”,从本地清洗中心自动切换到华为云高防防御。

回切到线下防御

  1. 手动回切。

    无论“回切线下防御方式”是选择自动还是手动。当从ATIC页面报表观察到攻击停止,都可通过手动回切方式,从华为云高防防御回切到本地清洗中心进行线下防御。

    1. 选择“防御 > 策略配置 > 云清洗 > 华为云高防”。

    2. 勾选需要回切到线下防御的防护IP,单击“停用高防联动”。并在弹出的对话框单击“确定”。完成回切到线下防御。

  2. 自动回切

    1. 选择“防御 > 策略配置 > 云清洗 > 华为云高防”

    2. 点击右侧“操作”栏中的,在“编辑高防防御配置”对话框内,“回切线下防御方式”选为“自动”。

    3. 单击“确定”。完成自动回切。当攻击流量下降到“调度阈值”以下,并持续24小时后,流量自动回切到本地清洗中心进行防御。

恢复高防联动配置

当抗D险license恢复可用后,如果想继续使用之前的防护组配置信息,可以通过“恢复高防联动配置”功能,告知华为云高防服务,恢复该防护组的联动防护。

  1. 选择防御 > 策略配置 > 云清洗 > 华为云高防

  2. 勾选需要恢复的的防护组,单击“恢复高防联动配置”。并在弹出的对话框中单击“确定”,完成恢复高防联动。

结果调试

完成配置后,可以参考以下步骤进行结果调测。

如果当前为线下防御:

  1. 登录防护域名http://www.addtest.com/,进行测试,可以正常访问。

  2. 采用手动方式切换到华为云高防防御。

  3. 登录防护域名http://www.addtest.com/,进行测试,可以正常访问。

如果当前为线上华为云高防防御:

  1. 登录防护域名http://www.addtest.com/,进行测试,可以正常访问。

  2. 采用手动方式回切到线下防御。

  3. 登录防护域名http://www.addtest.com/,进行测试,可以正常访问。

父主题: 云清洗
版权所有 © 华为技术有限公司