防止 DoS 攻击

本页面适用于 Apigee，但不适用于 Apigee Hybrid。

查看 Apigee Edge 文档。

拒绝服务攻击 (DoS) 是一种使最终用户无法使用您的服务或应用的尝试。在发生分布式拒绝服务 (DDoS) 攻击时，攻击者会使用多个资源（通常是大量遭到入侵的主机/实例）来编排针对目标的大规模攻击。

Apigee 架构会在两个网络之间创建对等互连连接：Google 托管的租户项目 (Apigee VPC) 和客户管理的项目（客户 VPC）。如需缓解或防止这些网络上的 DoS 攻击，请务必遵循 Google Cloud Platform (PDF) 上的 DDoS 防护和缓解措施的最佳做法。

如果您在外部公开 API，则可能容易受到 DoS 攻击。为缓解此问题，Cloud Load Balancing 内置了一些保护功能，包括：

• Google Frontend 基础架构的保护：使用 Cloud Load Balancing 时，Google Frontend 基础架构会终止用户流量并自动扩容，以在攻击到达 Compute Engine 实例前吸收某些类型的攻击（例如 SYN 洪水）。
• 基于 Anycast 的负载平衡：借助 Cloud Load Balancing，您可以为所有区域中的前端 Apigee 实例启用单个 Anycast IP。流量会被引导至最近的后端；在发生 DDoS 攻击的情况下，GCLB 通过将流量转移到部署了后端的任何区域中的有可用容量的实例来增加受攻击区域。

除了 Cloud Load Balancing 之外，您还可以添加 Google Cloud Armor 以保护您的 API 端点免受 DoS 和网络攻击。Cloud Armor 具有以下优势：

• 基于 IP 和地理位置的访问权限控制：根据 IPv4 和 IPv6 地址或地址范围 (CIDR) 过滤传入流量。实施基于地理位置的访问权限控制措施，利用 Google 的 GeoIP 映射功能，根据来源的地理位置允许或拒绝流量。
• 对 Hybrid 和多云端部署的支持：帮助保护应用免受 DDoS 攻击或网络攻击，并强制执行第 7 层安全政策，无论您的应用是部署在 Google Cloud 上，还是处于 Hybrid 或多云端架构上。
• 公开范围和监控：在 Cloud Monitoring 信息中心内轻松监控与安全政策关联的所有指标。您还可以直接在 Security Command Center 信息中心查看 Cloud Armor 检测到的可疑应用流量规律。
• 预配置的 WAF 规则：利用来自 ModSecurity 核心规则集的开箱即用规则，防范跨站脚本 (XSS) 攻击和 SQL 注入攻击等多种威胁。另外还在 Beta 版中提供 RFI、LFI 和 RCE 规则。如需了解详情，请参阅我们的 WAF 规则指南。
• 已命名的 IP 列表：根据精选的已命名 IP 列表（Beta 版）通过 Cloud Armor 安全政策允许或拒绝流量。

如需了解详情，请参阅 Google Cloud Armor。