瞭解 DDoS 層

網路傳輸層 (3 和 4) 保護 (TCP、UDP、ICMP)

現在，所有 Oracle Cloud 資料中心都有 DDoS 攻擊偵測和緩解大量第 3 層或 4 DDoS 攻擊。這些來自 Oracle Cloud 的 DDoS 保護服務有助於確保 Oracle 網路資源的可用性，甚至受到第 3 層或第 4 層的攻擊。

應用程式層 (7) 保護 (HTTP/HTTPS)

第 7 層攻擊 (HTTP/HTTPS) 會目標應用程式破壞漏洞和錯誤組態。這些攻擊的大小和複雜度是大幅增加的。因此，保護應用系統免於網路威脅，包括惡意機器人、跨網站命令檔、SQL 資料隱碼攻擊，以及「Open Web 應用系統安全專案 (OWASP)」所定義的其他漏洞。

關於 Oracle DDoS 保護

OCI 上的 DDoS 保護服務適用於以網路為基礎的攻擊 (OCI 模型的第 3 層和第 4 層)，或有許多人員認為以磁碟區為基礎的攻擊。Oracle 會監控整個位址空間，包括為所有 Oracle Cloud 客戶引進您的 IP 位址 (BYOIP)。如果發現大量攻擊，它會提供工具和處理作業來減輕和清理惡意流量。Oracle 正為 OCI 客戶完全管理此保護。

以 DNS 為基礎的攻擊會受到普遍性的影響，因為它們在傳輸層會作為 UDP 協定的一部分，並且可以透過許多途徑來攻擊。為了協助偵測及降低這些攻擊，您可以在 OCI 中將 DNS 服務部署為網路負載平衡器後方客戶擁有的實體，例如支援公用 DNS 服務。

由於 OCI DNS 是策略性位於各大洲之多個資料中心的全域任一傳播網路，因此它使用多餘的網際網路傳輸提供者，提供極致的抗逆力和保護力，抵禦 DDoS 攻擊。

下圖概述 DDoS 攻擊類型和緩解。

ddos-attack-types-and-oci-mitigations.png 圖解描述

瞭解 OCI DDoS 預防服務的功能

OCI DDoS 預防需要下列服務：

Web 應用程式防火牆 (WAF) - Oracle Cloud Infrastructure Web 應用程式防火牆 (WAF) 是一種區域式邊緣強制服務，會連附至強制點，例如負載平衡器或 Web 應用程式網域名稱。WAF 可保護應用系統免於惡意和非必要網際網路流量的危害。WAF 可以保護所有連結網際網路的端點，對客戶的應用程式實施一致的規則。
OCI WAF 解決方案有兩種類型：WAF 邊緣原則和 WAF 防火牆原則。WAF 邊緣原則主要用於在邊緣強制實行原則，而 WAF 防火牆原則則與應用程式負載平衡器 (ALB) 關聯。WAF 邊緣會在進入組織的 VCN 之前強制執行 WAF 原則。
網路負載平衡器 (NLB) - Oracle Cloud Infrastructure 彈性網路負載平衡服務 (網路負載平衡器) 提供從一個進入點到虛擬雲端網路 (VCN) 中多個後端伺服器的自動化流量分配。它會在連線層次運作，並且根據第 3 層和第 4 層 (IP 協定) 資料，將內送從屬端連線負載平衡至狀況良好的後端伺服器。此服務提供負載平衡器，您可以選擇區域公用或專用 IP 位址，此位址會根據沒有頻寬組態需求的從屬端流量，以彈性地擴展或縮減規模。在 OCI 中，NLB 是以非對稱雜湊方式運作。此雜湊方法需要以來源和目的地 NAT 部署 NGFW 的唯一指定。對稱散列將移除 NLB 後 NGFW 上的 NAT 要求。
彈性負載平衡器 (FLB) - Oracle Cloud Infrastructure 負載平衡服務提供自動化流量分配，從一個進入點分配到可從您虛擬雲端網路 (VCN) 存取的多部伺服器。此服務會以您選擇的公用或專用 IP 位址和佈建的頻寬，提供負載平衡器。
新一代防火牆 (NGFW) - 新一代防火牆是最新一代的防火牆技術，利用傳統防火牆服務搭配進階的第 7 層篩選、威脅偵測 / 預防 (DDoS)、深度封包檢查以及入侵偵測 / 預防功能。
TLS/SSL 憑證 - TLS/SSL 憑證是認證網站識別並啟用加密連線的數位憑證。
憑證有兩種主要類型：標準憑證與萬用字元憑證。標準單一網域 SSL 憑證可保護一個網域名稱。A. 萬用字元 SSL 憑證可保護您的網域和不限數目的第一層子網域。一般而言，萬用字元憑證會被視為較不安全，因為憑證的妥協將會導致影響較大的資源集，而標準的單一網域憑證則較為安全，因為如果受到危害，則只有使用該憑證的資源會受到影響。