缩小暴露面

隔离资源和不相关的业务，降低被攻击的风险。

配置安全组，尽量避免将非业务必须的服务端口暴露在公网上，从而避免与业务无关的请求和访问。通过配置安全组可以有效防止系统被扫描或者意外暴露。

优化业务架构

利用公共云的特性设计弹性伸缩和灾备切换的系统。

科学评估业务架构性能

在业务部署前期或运营期间，技术团队应该对业务架构进行压力测试，以评估现有架构的业务吞吐处理能力，为DDoS防御提供详细的技术参数指导信息。

优化DNS解析

通过智能解析的方式优化DNS解析，可以有效避免DNS流量攻击产生的风险。同时，建议您将业务托管至多家DNS服务商，并可以从以下方面考虑优化DNS解析。

• 屏蔽未经请求发送的DNS响应信息
• 丢弃快速重传数据包
• 启用TTL
• 丢弃未知来源的DNS查询请求和响应数据
• 丢弃未经请求或突发的DNS请求
• 启动DNS客户端验证
• 对响应信息进行缓存处理
• 使用ACL的权限
• 利用ACL、BCP38及IP信誉功能

服务器安全加固

提升服务器自身的连接数等性能。

• 对服务器上的操作系统、软件服务进行安全加固，减少可被攻击的点，增大攻击方的攻击成本。
• 确保服务器的系统文件是最新的版本，并及时更新系统补丁。
• 对所有服务器主机进行检查，清楚访问者的来源。
• 过滤不必要的服务和端口。例如，对于WWW服务器，只开放80端口，将其他所有端口关闭，或在防火墙上设置阻止策略。