EIP可通过IPv4网关的公网连接控制能力,以及阿里云DDoS防护能力,提升网络资源互访时的安全性。
使用IPv4网关控制公网连接
IPv4网关是连接专有网络VPC(Virtual Private Cloud)和公网的网络组件。VPC访问IPv4公网的流量经过IPv4网关,由IPv4网关实现路由转发以及私网地址到公网地址的转换,最终实现对公网的访问。
公网访问集中控制
VPC内云资源绑定了EIP,可以直接访问公网,不受VPC路由表控制。为了降低云资源直接访问公网可能带来的安全管控风险,您可以使用IPv4网关及子网路由能力,对VPC中访问公网的行为进行约束,根据需求使得子网具备访问公网的能力或者不具备访问公网的能力。
入方向路由策略控制
IPv4网关结合子网路由能力,可以将访问公网的流量引流至虚拟防火墙(例如云防火墙)做安全防护。
关于IPv4网关更多信息,请参见IPv4网关概述。
DDoS攻击防护
DDoS攻击是一种针对目标系统的恶意网络攻击行为,会导致被攻击者的业务无法正常访问。阿里云免费为EIP提供不超过5 Gbps的DDoS基础防护,如果您的业务有更高的安全防护需求,您还可以选择购买DDoS防护(增强版)EIP。
DDoS基础防护
EIP实例默认开启DDoS基础防护能力,提供不超过5 Gbps的基础DDoS防护能力。所有来自互联网的流量都要先经过云盾再到达EIP实例,云盾会针对常见的攻击进行清洗过滤。更多信息,请参见什么是DDoS原生防护。
说明 当来自互联网的流量大于DDoS防护能力时,为保护整个集群的安全,流量将会被黑洞处理,即所有入流量全部被屏蔽。DDoS基础防护各个地域默认初始黑洞触发阈值,请参见DDoS基础防护黑洞阈值。EIP实例的实际黑洞阈值与所在地域及带宽有关,请以资产中心页面显示为准。
关于EIP实例的DDoS基础防护能力更多信息,请参见DDoS基础防护。
DDoS防护(增强版)
阿里云提供DDoS防护(增强版)EIP,在购买EIP实例时,选择DDoS防护(增强版)安全防护级别,即可提供Tbps级的专业DDoS防护能力。
使用DDoS防护(增强版)EIP,您无需额外进行DDoS高防配置,业务IP也无需进行转换,适用于大型游戏、重大线上直播等对安全防护级别要求较高且时延较敏感的场景。
关于DDoS防护(增强版)EIP实例更多信息,请参见DDoS防护(增强版)EIP最佳实践。