对于大多数中小业务,默认的免费基础防护已足够应对日常波动,只有当业务面临持续大流量攻击风险或需要合规保障时,才建议升级到高级版或高防实例。
先说结论:基础防护适合日常免运维场景,高防包/实例适合核心业务高可靠需求
- 适合:基础防护面向云内默认资产,高防产品面向有高防带宽需求的专业场景
- 重点看:防护带宽阈值(基础防护视地域与实例类型而定,通常不超过 2Gbps)与高级防护次数限制
- 别忽略:高防实例购买可能需联系商务经理,且地域必须与资源一致
快速处理思路
该问题属于架构选型决策,需结合业务场景与控制台配置进行判断。建议按以下逻辑快速判断:
- 登录控制台查看当前云资产是否已开启基础防护。
- 评估业务是否曾因攻击导致黑洞或中断。
- 若需更高防护,确认预算并联系商务确认高防实例资格。
核心区别与防护阈值
腾讯云 DDoS 防护分为多个层级。基础防护是云产品默认赠送的能力,主要抵御小规模攻击,当攻击流量超过阈值时,受攻击 IP 可能被黑洞导致业务中断。而高防实例提供独享 IP、多线 BGP 防护及更高的保底带宽,适合对可用性要求极高的业务。
基础防护加强版和高防包则是中间形态,前者在基础之上增强,后者可为公网 IP 提供更高防护能力,支持防护 CVM、CLB 等产品。
基础防护阈值参考
基础防护阈值并非统一标准,不同地域和实例类型差异较大,具体以控制台显示为准。
| 地域/实例类型 | 基础防护阈值说明 | 备注 |
|---|---|---|
| 大部分地域 CVM | 通常 2Gbps 起步 | 部分特殊实例类型可能更高 |
| 部分海外地域 | 可能低于 2Gbps | 需查阅当地文档 |
| 高防包/实例 | 可配置 20Gbps 及以上 | 按量或包年包月计费 |
控制台实操步骤
第一步:确认当前防护状态
登录腾讯云控制台,依次点击 安全 > DDoS 防护 > 防护资产。在云资产列表中查看防护类型。默认情况下,CVM、CLB、NAT 等云产品享有免费基础防护。
第二步:评估风险与需求
如果业务曾遭受超过基础防护阈值的攻击,或需要 Tbps 级防护能力,需考虑高防包或高防实例。高防包支持为同区域腾讯云公网 IP 提供服务,不同版本可配置防护 IP 数不同。
第三步:选择并购买实例
若选择 DDoS 高防(中国内地)高配实例,需注意购买前可能需要联系商务经理申请。专业版可直接购买,部分高级版本每月提供有限次数的高级防护。
在计费配置界面,重点关注以下参数:
- 保底防护带宽:承诺防护的最小带宽,攻击低于此值不收费。
- 弹性防护带宽:超过保底带宽后的防护上限,按当日最高攻击峰值计费。
第四步:绑定防护对象
购买高防包后,需在控制台管理防护对象,将云资源公网 IP 添加到实例中。注意高防包如果有 IP 处于被攻击或封堵状态,不允许解绑。
验证与监控
购买或升级后,回到 DDoS 防护控制台,查看实例状态是否为“运行中”。在遭受攻击时,可通过防护报表查看清洗流量和拦截记录。若业务 IP 未进入黑洞状态且访问正常,说明防护生效。
关键监控指标:
- 清洗流量:显示被清洗的攻击流量大小。
- 事件日志:查看是否有触发防护策略的记录。
- 黑洞状态:确认 IP 是否因攻击过大被运营商黑洞。
常见配置坑点
- 地域限制:DDoS 高防包目前仅支持为同区域的腾讯云公网 IP 提供高防服务,跨地域无法绑定。
- 高级版资格:DDoS 高防高配实例购买前需联系商务经理,不是所有账号都能直接下单。
- 解绑限制:当关联云资产时,若 IP 处于被攻击中或封堵状态下,不允许用户解绑该 IP。
- 防护次数:部分实例版本每月提供的高级防护次数有限,用完后需单独购买资源包。
- 阈值差异:不要默认所有地域基础防护都是 2Gbps,上线前务必在控制台确认当前资产的具体阈值。
参考来源
- 腾讯云文档 - T-Sec DDoS 基础防护
- 腾讯云文档 - DDoS 高防 (中国内地) 计费说明
- 腾讯云文档 - 管理防护对象
- 腾讯云文档 - 购买指引