如何选择阿里云DDoS防护产品？

如何选择阿里云DDoS防护产品？

阿里云基于多年的DDoS攻防经验和安全技术，提供多款正式商用的DDoS防护解决方案供您选择，满足您业务中对各类DDoS攻击安全防护场景的需求。本文介绍了在不同DDoS攻击防御场景下如何选择合适的DDoS防护产品或方案。

DDoS防护解决方案

阿里云提供的DDoS防护解决方案包括免费的DDoS原生防护基础版服务和以下收费服务：DDoS原生防护企业版、DDoS高防（新BGP&国际）、游戏盾。下表描述了不同方案的具体说明。

说明：如果需要定制专属的安全解决方案，您可以通过翼龙云工作人员咨询@yilongcloud，为您定制专属安全解决方案。

DDoS防护解决方案	简介	应用场景	选择版本套餐
DDoS原生防护基础版	阿里云提供的基础服务，根据您所购买的阿里云产品（ECS、SLB、EIP（含NAT）、轻量服务器、WAF）公网IP免费提供最大5 Gbps的DDoS防护能力。	购买阿里云产品即可获得基础的DDoS防护能力，仅可满足较低的安全需求，对于有较高安全防护需求的用户建议额外开通其他的安全方案。	无
DDoS原生防护企业版	直接提升阿里云公网IP资产的DDoS防护能力。通过简单的配置，将DDoS原生防护企业版提供的安全能力直接加载到云产品上，提升其安全防护能力。说明：DDoS原生防护企业版，支持全力防护（原生防护）。	业务资源部署在阿里云环境。业务规模较大。例如，业务带宽大于1 Gbps，HTTP和HTTPS业务QPS大于5,000。需要保护的公网IP数量多。例如数十个甚至数千个IP需要防护。需要防护的端口数量多。例如每个服务器上有数十个端口。偶尔遭受DDoS攻击。具有IPv6访问流量的防护需求。	如果只需要防御DDoS攻击，推荐使用负载均衡+原生防护企业版的部署方式，由负载均衡丢弃未监听协议和端口的流量，获得更好的防护效果。如果需要防御DDoS攻击和Web攻击、CC攻击，推荐使用Web应用防火墙+原生防护企业版的部署方式，由WAF防御CC攻击、DDoS原生防护企业版防御流量攻击，获得更好的防护效果。重要：如果需要Tbps级别原生防护能力，推荐使用具备DDoS防护（增强）功能的EIP和共享带宽包、共享流量包。
DDoS高防（新BGP、国际）	阿里云提供的解决互联网服务器（包括非阿里云主机）遭受大流量DDoS攻击的安全方案。通过配置DDoS高防，将业务请求流量牵引至DDoS高防清洗，攻击流量被过滤，仅正常流量被转发到源站，确保源站服务器稳定可靠。说明 DDoS高防（新BGP）支持弹性防护。 DDoS高防（国际）支持高级防护。	金融、电商、门户类网站，政府互联网出口、门户与开放平台，重大线上直播、活动推广促销的DDoS攻击防护场景。遭受恶意攻击者的DDoS攻击勒索。 DDoS攻击已经导致您的业务不可用，需要紧急恢复。频繁遭受DDoS攻击，需要持续防护DDoS攻击，保护业务的稳定性。移动业务遭恶意注册、刷单、刷流量等安全防护场景。	参考以下说明选择DDoS高防的版本套餐：业务服务器部署在中国内地，且主要服务于中国内地的用户，推荐使用DDoS高防（新BGP）专业版。业务服务器部署在中国内地以外，且主要服务于中国内地以外的用户，推荐使用DDoS高防（国际）保险版或无忧版。业务服务器部署在中国内地以外，但主要服务于中国内地的用户，推荐使用DDoS高防国际加速线路或DDoS高防（国际）安全加速线路。
游戏盾	阿里云针对游戏行业面对的DDoS、CC攻击提供的行业针对性解决方案。相比于DDoS高防，除有效防御大型DDoS攻击（Tbps级别）外，游戏盾还具备彻底解决游戏行业特有的TCP协议的CC攻击问题的能力。说明：支持防御Tbps级别的DDoS攻击。	主要业务为移动端游戏业务。具备集成阿里云SDK的能力。业务实时性要求高，对自定义传输协议存在精细化防护需求。具有网络传输加速需求。具有网络加密传输需求。需要追溯DDoS攻击的来源。	无

适合的业务类型

业务类型	DDoS高防	DDoS原生防护	游戏盾
网站类业务
UDP服务类业务
App应用类业务
游戏类业务			（推荐）

适合防御的DDoS攻击类型

下表中使用的符号说明如下：

：表示支持防御
：表示不支持防御

攻击类型	DDoS高防	DDoS原生防护	游戏盾
畸形报文
传输层DDoS攻击
DNS DDoS攻击	支持针对DNS攻击进行清洗。如果需要保护NS服务，需要使用云解析抗DDoS服务。	支持针对DNS攻击进行清洗。但如果需要保护NS服务，需要使用云解析抗DDoS服务。
连接型DDoS攻击
Web应用层DDoS攻击

如何选择实例类型

您可以根据业务服务器的部署地域和业务主要用户的来源地域，选择要购买哪种类型的DDoS高防实例，具体说明如下：

业务服务器部署地域	业务用户来源地域	选购建议
中国内地	中国内地或非中国内地	建议您购买DDoS高防（新BGP）专业版或高级版实例。重要 DDoS高防（新BGP）实例不支持接入未经ICP备案的域名。如果您需要使用DDoS高防（新BGP）防护网站业务，请确认网站域名已经完成ICP备案。
非中国内地	非中国内地	建议您购买DDoS高防（国际）保险防护或无限防护实例。
非中国内地	中国内地	单独使用DDoS高防（国际）保险防护或无限防护不能保障中国内地用户的访问质量（存在约300毫秒的平均访问延时），建议您考虑以下方案：如果只需要保障中国内地地域电信、联通和非移动运营商用户的业务访问速度和稳定性，您可以单独购买DDoS高防（国际）安全加速线路或安全加速线路（基础版）。说明该方案无需您购买DDoS高防（国际）保险防护或无限防护实例，因为DDoS高防（国际）安全加速线路或安全加速线路（基础版）本身包含DDoS攻击防护和业务访问加速服务。更多信息，请参见配置DDoS高防（国际）安全加速。如果上述方案不能满足您的需求，建议您同时购买DDoS高防（国际）保险防护实例和DDoS高防（国际）加速线路（或加速线路2.0），或者DDoS高防（国际）无限防护实例和DDoS高防（国际）加速线路（或加速线路2.0）。说明该方案需要您使用流量调度器功能配置出海加速规则，在无DDoS攻击时，中国内地用户访问被防护业务时，使用加速线路IP，实现访问加速；发生DDoS攻击时，中国内地用户访问被防护业务时，切换使用DDoS高防（国际）保险防护或无限防护IP，实现DDoS攻击防护。更多信息，请参见概述。

业务QPS与连接数规格说明

DDoS高防（新BGP）和DDoS高防（国际）实例未启用弹性QPS时，业务QPS与连接数规格的对应关系如下表。

业务QPS	新建连接数	并发连接数
0<QPS≤5,000	5,000	100,000
5,000<QPS≤10,000	10,000	200,000
10,000<QPS≤30,000	30,000	500,000
30,000<QPS≤50,000	50,000	1,000,000
50,000<QPS≤100,000	80,000	1,500,000
100,000<QPS≤150,000	100,000	2,000,000

DDoS高防（新BGP）启用了弹性QPS时：
- 如果实例的地址类型为IPv4，弹性QPS为300,000，新建连接数为100,000，并发连接数为2,000,000。
- 如果实例的地址类型为IPv6，弹性QPS为150,000，新建连接数为100,000，并发连接数为2,000,000。
DDoS高防（国际）启用了弹性QPS时：

弹性QPS为100,001，新建连接数为100,000，并发连接数为2,000,000。

说明

如果您的业务需要更高的新建连接数规格或者并发连接数规格，请通过小飞机@yilongcloud 联系翼龙云工作人员申请。