了解 DDoS 层
OCI 服务为不同的 DDoS 层提供 DDoS 攻击检测和缓解功能。在设计 DDoS 解决方案之前,请查看 OCI 提供的 DDoS 层和预防服务。
网络传输层(3 和 4)保护(TCP、UDP、ICMP)
如今,所有 Oracle Cloud 数据中心都针对高容量第 3 层或 4 层 DDoS 攻击进行了 DDoS 攻击检测和缓解。这些来自 Oracle Cloud 的 DDoS 保护服务有助于确保 Oracle 网络资源可用性,即使在持续的第 3 层或第 4 层攻击下也是如此。
应用层 (7) 保护 (HTTP/HTTPS)
第 7 层攻击 (HTTP/HTTPS) 目标应用程序利用漏洞和错误配置。这些攻击的大小和复杂性呈指数级增长。因此,保护应用免受网络威胁(包括恶意机器人、跨站点脚本、SQL 注入以及开放 Web 应用安全项目 (Open Web Application Security Project,OWASP) 定义的其他漏洞)至关重要。
关于 Oracle DDoS 保护
OCI 上的 DDoS 保护服务适用于基于网络的攻击(OSI 模型的第 3 层和第 4 层),或者很多人认为是基于卷的攻击。Oracle 会监视其整个地址空间,包括所有 Oracle Cloud 客户的 IP 地址 (BYOIP)。如果发生基于卷的攻击,则可以使用工具和流程来缓解和清理恶意流量。Oracle 正在为 OCI 客户全面管理这种保护。
基于 DNS 的攻击普遍存在,因为它们作为 UDP 协议的一部分存在于传输层,并且可以通过许多途径进行攻击。为了帮助检测和缓解这些攻击,可以在 OCI 中将 DNS 服务作为客户拥有的实体部署在网络负载平衡器后面,例如支持公共 DNS 服务。
由于 OCI DNS 是由分布在各大洲的多个数据中心构成的全球任播网络,因此它混合使用冗余互联网传输提供商来实现最终的弹性和保护,以防 DDoS 攻击。
下图汇总了 DDoS 攻击类型和缓解措施。
了解 OCI DDoS 预防服务功能
要防止 OCI DDoS,需要以下服务:
- Web 应用防火墙 (Web Application Firewalls,WAF) -Oracle Cloud Infrastructure Web 应用防火墙 (Web Application Firewall,WAF) 是基于区域且边缘实施服务附加到实施点,例如负载平衡器或 Web 应用域名。WAF 可保护应用免受恶意和不需要的互联网流量干扰。WAF 可以保护任何面向互联网的端点,并在客户应用之间实现一致的规则实施。
OCI WAF 解决方案有两种类型:WAF 边缘策略和 WAF 防火墙策略。WAF 边缘策略用于在边缘强制实施策略,而 WAF 防火墙策略与应用程序负载平衡器 (Application Load Balancers,ALB) 关联。WAF Edge 在进入组织的 VCN 之前强制实施 WAF 策略。
-
网络负载平衡器 (NLB) -Oracle Cloud Infrastructure 灵活网络负载平衡服务(网络负载平衡器)提供从一个入口点到虚拟云网络 (VCN) 中的多个后端服务器的自动流量分配。它在连接级别运行,并根据第 3 层和第 4 层(IP 协议)数据对传入的客户端连接进行负载平衡。该服务提供了一个负载平衡器,可供您选择的一个区域公共或专用 IP 地址。该地址可弹性扩展,并根据客户端流量进行扩展或收缩,不需要带宽配置。在 OCI 中,NLB 以非对称散列方式工作。这种散列方法需要使用源和目标 NAT 部署的 NGFW 的唯一指定。对称散列将消除 NLB 后 NGFW 上的 NAT 要求。
- 灵活的负载平衡器 (FLB) - Oracle Cloud Infrastructure 负载平衡服务可将一个入口点的流量自动分配到可从虚拟云网络 (VCN) 访问的多个服务器。该服务提供了一个负载平衡器,您可以选择公共或专用 IP 地址以及预配的带宽。
- 下一代防火墙 (NGFW) - 下一代防火墙是最新一代防火墙技术,它利用传统防火墙服务以及高级第 7 层过滤、威胁检测/预防 (DDoS)、深度包检查和入侵检测/预防功能。
- TLS/SSL 证书 -TLS/SSL 证书是一个数字证书,用于验证网站的身份并启用加密连接。
证书主要有两种类型:标准证书和通配符证书。标准单域 SSL 证书可保护一个域名。A. 通配符 SSL 证书可保护您的域和数量不限的第一级子域。通常,通配符证书的安全性较低,因为证书的泄露将导致更大的资源集受到影响,而标准单个域证书则更安全,因为如果有折衷,则仅影响使用该证书的资源。