如何避免在使用基于云的DDoS保护时破坏端到端加密？

Question

我有一些网站和应用程序，我需要保护免受DDoS攻击。这些网站和应用程序是由位于世界各地几个小型数据中心的各种服务器提供的。

我正在考虑某种基于云的DDoS保护(Cloudflare，Akamai，Imperva等)为此，这些服务要求我将它们放在服务器和用户之间。问题是，我希望我的用户的流量仍然是端到端加密使用TLS，我不确定这是否有可能与这些云为基础的DDoS保护服务之间。

根据Akamai的脯氨酸产品简介，看起来这些DDoS保护服务至少有两种方式可以位于我的服务器和用户之间：(1) DNS重定向，(2) BGP重定向。我相当肯定DNS重定向总是会破坏TLS，但我不知道它如何破坏或不破坏BGP重定向可以实现的各种方式。

在TLS可以继续对端到端加密通信的场景中，这将如何影响DDoS保护服务的有效性？

Answer 1

对于DNS保护，您不需要与提供者共享TLS密钥，基本上DNS重定向是DNS将指向他们的服务器，然后他们转发流量。此解决方案不需要共享TLS密钥。对于BGP解决方案是相同的，但主要的区别是在layer3 (IP)。提供商将对IP前缀进行解析，并将其放到云上，然后将干净的IP数据包转发给您。

我没有进入更好的两种方法，但是对于你的解决方案，这两种方法都没有问题。