文档中心 BGP 高防 IP 最佳实践 与源站结合的防护调度方案

与源站结合的防护调度方案

最近更新时间:2018-12-24 10:27:26

需求背景

部分用户业务对延时要求严格,或者受限于业务要求常态化情况下必须直接访问源站,此时可考虑结合源站的防护调度方案。
该方案可满足流量常态化情况下直接访问源站,但遭到攻击后可迅速具备防护能力的要求。

防护方案

与源站结合的防护调度方案如下图:

说明:

本方案依赖于 DNS 服务商,需要具备监控和智能切换功能。

方案说明

本方案主要由高防 IP、DNS 监控、客户源站的对外业务 IP 和源站备用 IP 组成。

  • 常态化情况下,业务的域名解析到正常的对外业务 IP,业务流量直接访问源站。DNS 监控实时监控源站业务是否可以正常访问。
  • 当 DNS 监控检测到正常的对外业务 IP 无法访问时,依据智能切换的设置规则,迅速将业务域名解析到高防 IP 上。高防 IP 对攻击流量进行清洗,将干净的业务流量转发到源站的备用 IP,从而保障业务可用。

    注意:

    为避免由于网络抖动等因素造成的误切换,确保监控效果,建议进行手动切换。

方案效果

  • 满足常态化情况下直接访问源站的需求。
  • 适用于对延时要求非常严格的业务。
  • 遭到攻击超出源站防护能力后,可自动切换到高防 IP 进行防护。

建议与注意事项

  1. 需提前完成源站备用 IP、高防 IP 转发规则等配置。
  2. 建议将源站备用 IP 与正常的业务 IP 分布在不同的物理线路,以获得更好的防护效果。
  3. 建议定期进行验证和演练,熟悉方案细节,解决可能存在的问题。