IIJ GIOベストプラクティス - デザインパターン【ネットワーク】
WebサイトのDDoS対策
オリジンサーバをDDoSから保護するのが「WebサイトのDDoS対策」です。IIJのバックボーン上に設置されたDDoS対策設備で、オリジンサーバをDDoSから保護します。
解決できる課題
- 導入・運用の手間をできる限り少なくして、DDoSによって発生する回線帯域の逼迫やサーバ負荷上昇によるサービス停止からシステムを守りたい。
デザインパターンの概要
- DDoSは大量のトラフィックをオリジンサーバに送ることでサービス停止を狙う攻撃です。オリジンサーバの前段にDDoS対策製品などを導入しても、回線帯域が逼迫してしまう可能性があり、必ずしも有効な対策とは言えません。
- IIJ GIOコンテンツアクセラレーションサービス DDoSプロテクション連携オプションでは、IIJのバックボーン上にある設備でDDoS防御を行います。
- DNSでオリジンサーバに対するCNAMEをIIJ設備のドメイン名に設定することで、DDoS対策設備を経由した通信となります。
このデザインパターンのメリット
- IIJのバックボーン上でDDoS通信を遮断するため、オリジンサーバやその回線に負荷をかけることはありません。
- DDoS対策設備の運用をアウトソースできます。
補足
- DDoSプロテクション連携オプションは、IIJ GIOコンテンツアクセラレーションサービスのオプションとなり、HTTP/HTTPS(TCP80/443)以外の通信を通すことはできません。
- Webサイト以外の通信を保護する場合は、IIJ DDoSプロテクションサービスをご利用ください。