全球加速依托阿里云优质BGP带宽和全球传输网络,通过联动DDoS高防和Web应用防火墙,可以有效防御DDoS攻击和Web攻击,同时可以通过全局流量管理实现故障隔离或流量切换,为Web服务商提供一套高安全的跨地域加速方案。
背景信息
某Web服务部署在美国(硅谷)地域的阿里云上,后端服务器为4个绑定了阿里云弹性公网IP的ECS实例,Web服务通过域名www.example.us(海外域名)对外提供服务,转发端口为TCP 9000端口。Web服务面临以下问题:- Web域名为海外域名,暂不能托管在中国内地的服务器上,但客户端主要集中在中国内地。
- Web服务经常受到各类Web攻击和DDoS攻击,严重影响Web应用服务的安全性和可用性。
- 跨国公网不稳定,经常出现延迟、抖动、丢包等网络问题。
- 后端服务器不稳定,业务存在中断的风险。

- DDoS高防可以有效防御DDoS攻击。
旁路部署DDoS高防,仅在特定场景下触发并切换启用DDoS高防,保证无DDoS攻击时日常业务的流畅体验以及发生DDoS攻击时更好的防护效果。
- 全球加速可以提高加速区域用户的网络访问速度。
中国内地用户的访问请求通过中国香港接入点进入阿里云加速网络 ,然后通过智能选择路由和自动网络调度,把网络访问请求送达至美国硅谷源站。
- Web应用防火墙可以有效防御各类Web攻击。
所有访问Web的公网流量都会经过Web应用防火墙,恶意攻击流量在Web应用防火墙上被检测过滤,而正常流量返回给源站IP,确保源站IP安全、稳定、可用。
- 全局流量管理可以实现故障隔离或流量切换。
- 如果主服务器组运行正常时,客户端的访问流量均转发到主服务器组。
- 如果主服务器组因故障不可用时,流量迅速切换到备服务器组,并在主服务器组恢复正常后,客户端流量切回主服务器组。
配置步骤

步骤一:创建全局流量管理实例
全局流量管理是一种流量管理服务,可以帮助您精细化的管理客户端访问流量。
完成以下操作,创建全局流量管理实例。
- 登录阿里云云解析DNS控制台。
- 在左侧导航栏,单击全局流量管理。
- 在全局流量管理页面,单击创建实例。
- 在购买页面,根据以下信息配置全局流量管理实例。
- 套餐版本:分为标准版和旗舰版。本方案选择标准版。
- 购买数量:选择购买实例的数量。
- 购买时长:选择购买实例的时长。
- 单击立即购买完成支付。
步骤二:配置访问策略
访问策略可以将不同来源的访问请求转发到不同的后端服务器,并可以根据实际业务需要设置备用后端服务器。
完成以下操作,为全局流量管理配置访问策略。
- 登录阿里云云解析DNS控制台。
- 在左侧导航栏,单击全局流量管理。
- 在全局流量管理页面,找到目标全局流量管理实例,单击操作列下的配置。
- 在选择配置方法对话框,选择快速入门。
- 在访问策略配置向导下,根据以下信息配置访问策略。
- 单击下一步。
步骤三:配置基础信息
配置访问策略后,您需要配置全局流量管理实例的基础信息,包括主域名信息、CNAME接入域名、全局TTL、报警通知组等相关信息。
完成以下操作,为全局流量管理配置基础信息。
- 在基本配置配置向导下,配置基础信息。
- 单击完成。
基本信息配置完成后,系统会自动分配一个CNAME接入域名用于解析要调度的后端服务IP。
步骤四:开通Web应用防火墙
Web应用防火墙WAF基于云安全大数据能力,用于防御SQL注入、XSS跨站脚本、常见Web服务器插件漏洞、木马上传、非授权核心资源访问等OWASP常见攻击,并过滤海量恶意CC攻击,避免您的网站资产数据泄露,保障网站的安全与可用性。
本方案以包年包月为例,介绍如何开通Web应用防火墙。
- 进入阿里云官网Web应用防火墙产品详情页。
- 单击立即购买。
- 在Web应用防火墙(包月)页面,完成以下配置。
- 单击立即购买完成支付。
步骤五:添加网站配置
开通Web应用防火墙后,您需要配置WAF防护网站的转发信息。
完成以下操作,通过DNS配置模式将被防护域名的访问流量指向WAF。
- 登录Web应用防火墙控制台。
- 在顶部状态栏,选择Web应用防火墙实例的地域。本方案选择海外地区。
- 在左侧导航栏,选择 。
- 在网站接入页面,单击网站接入。
- 根据配置向导完成相关任务。
- 单击下一步。在添加域名页面,单击复制Cname,记录下WAF分配的CNAME地址。
- 单击下一步,查看WAF IP地址,然后单击完成,返回网站列表。
步骤六:创建全球加速实例
- 登录全球加速管理控制台。
- 在实例列表页面,单击创建加速实例。
- 在购买页面,根据以下信息配置全球加速实例,然后单击去购买,并按照页面提示完成支付。
配置 说明 实例类型 选择标准型实例。 实例规格 选择购买标准型全球加速实例的规格。本文选择中型Ⅰ。 标准型全球加速支持的实例规格,请参见标准型全球加速实例规格。
加速IP类型 默认选择弹性公网IP。 带宽计费方式 默认选择按带宽。 资源组 选择标准型全球加速实例所属的资源组。 该资源组为当前阿里云账号在资源管理中创建的资源组。更多信息,请参见创建资源组。
购买时长 选择购买标准型全球加速实例的时长。 选中到期自动续费(需保证您的账户余额充足)可开启标准型全球加速实例自动续费功能。
服务协议 查阅并选中相关服务协议。

步骤七:购买并绑定基础带宽包
基础带宽包提供了覆盖全球的公网接入带宽和阿里云内网传输带宽。实现全球加速您需要购买基础带宽包并将基础带宽包绑定到全球加速实例。
- 在实例列表页面,单击购买基础带宽包。
- 在购买页面,配置基础带宽包,然后单击立即购买完成支付。
- 返回实例列表页面,单击已创建的全球加速实例ID。
- 单击带宽包管理页签。
- 在基础带宽包区域,单击去绑定基础带宽包。。
- 在绑定基础带宽包对话框,根据以下信息选择目标基础带宽包,单击确定。
- 资源组:选择要绑定的基础带宽包所在资源组。
- 绑定基础带宽包:在下拉列表中选择要绑定的基础带宽包。
绑定成功后,基础带宽包的状态变成可用。
步骤八:添加加速区域
在购买基础带宽包后,您便可以添加加速区域,指定访问后端服务的用户的所在地域并分配加速带宽。
- 在实例列表页面,单击步骤六:创建全球加速实例中创建的全球加速实例ID。
- 在实例详情页,单击加速区域页签,然后选择需要进行访问加速的区域。本方案选择亚太。
- 在加速区域页签下,单击添加加速区域。
- 在添加加速区域对话框,根据以下信息配置加速区域,然后单击确定。
- 选择加速地域:选择访问加速服务用户的所属地域。本方案选中中国(香港),然后单击添加至列表。
- 带宽:选择加速服务的地域带宽。本方案选择10 Mbps。
- IP地址协议:选择接入全球加速服务的IP地址协议。本方案选择IPv4。
加速区域添加成功后,全球加速会为每个加速区域中的地域分配一个加速IP,用来加速用户访问。
步骤九:创建监听
监听负责检查连接请求。系统会根据您指定的端口和协议转发来自客户端的入站连接。
- 在实例列表页面,单击步骤六:创建全球加速实例中创建的全球加速实例ID。
- 默认进入实例详情页的监听页签,单击添加监听。
- 在配置监听和协议的配置向导页面,配置监听。然后单击下一步。
参数 描述 监听名称 输入监听的名称。 名称长度为2~128个字符,以大小写字母或中文开头,可包含数字、下划线(_)和短划线(-)。 协议 选择监听的协议类型。本方案选择TCP。 端口 指定用来接收请求并向终端节点进行转发的监听端口,端口取值范围:1~65499。本方案输入9000。 客户端亲和性 选择是否保持客户端亲和性。保持客户端亲和性,即客户端访问有状态的应用程序时,可以将来自同一客户端的所有请求都定向到同一终端节点。本方案选择源IP。
步骤十:设置终端节点组
- 在节点组名称区域输入节点组名称。
- 选择终端节点组所属的地域,即请求要访问的目标服务器的所属地域。本方案要将流量转发到Web应用防火墙,所以选择美国硅谷。
- 选择后端服务部署在阿里云还是非阿里云。本方案选择非阿里云。
- 选择开启或关闭保持客户端源IP。开启后,后端服务器可以通过该功能获取客户端源IP。本教程选择关闭保持客户端源IP。
- 配置终端节点。
- 单击下一步查看监听和终端节点组配置,确认无误后,再单击下一步。
步骤十一:开通DDoS高防(国际)实例
部署在中国内地以外的业务服务器,可以通过DDoS高防(国际)降低DDoS攻击风险。DDoS高防(国际)依托先进的分布式近源清洗方式清洗攻击流量,并将过滤后的正常流量返回至源站服务器,保障业务稳定运行。
完成以下操作,开通DDoS高防(国际)实例。
- 登录DDoS高防控制台。
- 在实例管理页面,单击新购实例。
- 在购买页面,完成DDoS高防(国际)实例的购买配置。
- 单击立即购买并完成支付。
步骤十二:添加网站
网站配置定义了接入DDoS高防的网站业务的流量转发信息。
完成以下操作,在DDoS高防中添加要防护的网站信息。
- 登录DDoS高防控制台。
- 在顶部状态栏,选择服务所在地域。本方案选择非中国内地。
- 在左侧导航栏,单击 。
- 在域名接入页面,单击添加网站。
- 在添加网站页面,填写网站信息。
- 单击添加。
步骤十三:配置流量调度器
您可以通过DDoS高防流量调度器配置DDoS高防与云资源间的联动规则,仅在特定场景下触发并切换启用DDoS高防,保证无DDoS攻击时日常业务的流畅体验以及发生DDoS攻击时达到更好的防护效果。
完成以下操作,配置流量调度器。
- 登录DDoS高防控制台。
- 在顶部状态栏处,选择服务所在地域。本方案选择非中国内地。
- 在左侧导航栏,单击接入管理 > 流量调度器。
- 在通用联动页签下,单击添加规则。
- 在添加规则面板,完成联动规则配置。
- 单击下一步。
- 单击完成。成功添加规则后,流量调度器为新建规则分配一个CNAME地址。
步骤十四:将DNS解析到流量调度器
完成以下操作,将DNS解析到流量调度器。
- 登录阿里云云解析DNS控制台。
- 在域名解析页面,找到目标域名,单击操作列下的解析设置。
- 在解析设置页面,单击添加记录。
- 在添加记录对话框,配置记录,然后单击确定。
- 重复上述步骤,分别为中国联通、中国电信、中国移动、中国教育网线路添加记录。
步骤十五:访问测试
在接入地域(本方案为中国内地)下,使用Windows电脑测试全球加速联动DDoS高防(国际)、Web应用防火墙、全局流量管理后的防护和加速效果。
- 在浏览器中使用Web服务域名(本方案为海外域名www.example.us)访问美国(硅谷)地域部署的Web服务。
- 在cmd窗口下,执行
nslookup <Web服务域名>
查看解析结果。- 源站未被攻击时:解析结果为配置的全球加速的IP。
- 源站被攻击时:解析结果为DDoS高防(国际)IP。
- 执行
nslookup <全局流量管理的CNAME接入域名>
查看解析结果。- 主服务器组(本方案为美国硅谷服务器1和服务器2)正常运行时:解析结果为美国硅谷服务器1或服务器2的IP。
- 主服务器组(本方案为美国硅谷服务器1和服务器2)异常时:解析结果为美国硅谷服务器3或服务器4的IP。
- 执行以下命令,查看数据包延迟情况。
curl -o /dev/null -s -w "time_connect: %{time_connect}\ntime_starttransfer: %{time_starttransfer}\ntime_total: %{time_total}\n" "http[s]://<Web服务域名>[:<端口>]"
其中:- time_connect:连接时间,从开始到建立TCP连接完成所用的时间。
- time_starttransfer:开始传输时间。在客户端发出请求后,到后端服务器响应第一个字节所用的时间。
- time_total:连接总时间。客户端发出请求后,到后端服务器响应会话所用的时间。