DDoS 高防和 WAF 是阿里云安全防护架构中的两道关键防线,各司其职:
DDoS 高防(第一道防线):
- 通过 DNS 解析将流量引导到阿里云高防网络机房。
- 流量清洗中心进行第一道防护,基础设施广泛分布于国内外数据网络。
- 具备卓越的 DDoS 攻击防护能力,可抵御流量型攻击(如 NTP 反射攻击、Memcached 反射攻击)和资源耗费型攻击。
- 具有实时监控和自动化处理机制,精准过滤非法流量,仅允许合法流量进一步传输。
- 提供流量访问分析和监控仪表盘,包含 PV、UV、攻击次数、攻击流量、有效请求率等指标。
WAF(第二道防线):
- 对经过 DDoS 高防清洗后的合法流量进行应用层安全检测。
- 有效防范 SQL 注入、跨站脚本攻击(XSS)、表达式注入等常见 Web 威胁。
- 准确检测和阻止应用层的潜在攻击尝试,保护 Web 应用程序安全。
两者协同工作,DDoS 高防处理网络层和传输层攻击,WAF 处理应用层攻击,形成纵深防御体系。