使用ddos防护阿里云产品-DDoS防护(Anti-DDoS)-阿里云帮助中心

购买 DDoS 原生防护实例后，需要将公网 IP 资产（包括标准型云产品和 DDoS 防护（增强型）EIP）添加为防护对象，DDoS 原生防护才会使用默认防护模板为其提供 DDoS 防护能力。防护对象遭受 DDoS 攻击后，如果不涉及跨境业务，可以及时开启近源压制，快速屏蔽跨境流量。本文介绍如何添加防护对象，以及如何为防护对象开启近源压制。

添加防护对象

首次使用 DDoS 原生防护实例添加防护对象时，请根据页面提示完成云产品授权，授权 DDoS 原生防护实例访问其他云产品。

标准型云产品

自动添加

适用范围

支持的实例：仅适用于 DDoS 原生防护 2.0 实例，所有版本均支持。
支持 IP 资产范围：
- 支持自动添加当前阿里云账号下的资产。
- 若启用多账号管理功能，仅支持成员账号下的 ECS、EIP（含 NAT）、IPv6 网关、SLB 等类型资产，其余类型暂不支持。

自动添加规则

自动添加触发条件：云产品处于清洗或黑洞状态时才可触发自动添加。
存量云产品：开启自动添加后，符合状态规则的云产品将在5~30分钟内自动加入防护对象中。
新增云产品：后续新创建的云产品，若符合状态规则，也会自动加入防护对象中。
多 DDoS 原生防护实例场景：
- 若购买了DDoS原生防护2.0（后付费）实例，优先添加至后付费实例。
- 若购买多个DDoS原生防护2.0（包年包月）实例且均开启自动添加功能，防护生效的实例存在随机性。

开启步骤

登录流量安全产品控制台。
在顶部菜单栏左上角处，选择实例所在资源组，地域选择全球。
在左侧导航栏，选择网络安全 > DDoS原生防护 > 防护对象。
在防护对象页面，选择目标实例，单击按攻击状态分类下的开启。设置当资产处于何种状态时，会自动添加到防护对象中。

手动添加

适用范围

实例类型	版本	支持保护的资产范围
DDoS原生防护1.0（包年包月）	企业版	当前账号资产
DDoS原生防护2.0（包年包月）	中小企业普惠版	当前账号资产
DDoS原生防护2.0（包年包月）	企业版	当前账号资产、成员账号下的 ECS、EIP（含 NAT）、IPv6 网关、SLB 等类型资产
DDoS原生防护2.0（后付费）	企业版	当前账号资产、成员账号下的 ECS、EIP（含 NAT）、IPv6 网关、SLB 等类型资产

添加当前账号资产

DDoS原生防护2.0

登录流量安全产品控制台。
在顶部菜单栏左上角处，选择实例所在资源组，地域选择全球。
在左侧导航栏，选择网络安全 > DDoS原生防护 > 防护对象。
在防护对象页面，选择目标实例，单击添加防护对象。
选择从资产中添加或手工添加，然后单击确认。
- 从资产中添加：在待选择对象区域，勾选当前阿里云账号下的公网 IP 资产。
- 手工添加：手动输入当前阿里云账号下的公网 IP 资产。

DDoS原生防护1.0

登录流量安全产品控制台。
在顶部菜单栏左上角处，选择实例所在资源组和地域。
在左侧导航栏，选择网络安全 > DDoS原生防护 > 防护对象。
在防护对象页面，选择目标实例，单击添加防护对象。
选择从资产中添加或手工添加，然后单击确认。
- 从资产中添加：在待选择对象区域，勾选当前阿里云账号下的公网 IP 资产。
- 手工添加：手动输入当前阿里云账号下的公网 IP 资产。

添加成员账号的资产（多账号统一管理）

如果当前阿里云账号开通了多账号管理功能且为管理账号，可以将成员账号的公网 IP 资产添加为防护对象。详细内容，请参见多账号统一管理的配置说明。

登录流量安全产品控制台。
在顶部菜单栏左上角处，选择实例所在资源组，地域选择全球。
在左侧导航栏，选择网络安全 > DDoS原生防护 > 防护对象。
在防护对象页面，选择目标实例，单击添加防护对象。
在成员账号资产添加页签的选择成员账号区域，选择目标账号。
在待选择对象区域，勾选成员账号下需要防护资产后，然后单击确认。

增强型云产品

适用范围

支持的实例：仅适用于DDoS原生防护2.0（包年包月）-企业版实例、DDoS原生防护2.0（后付费）实例。
支持的云产品范围：DDoS防护（增强型）EIP（高防 EIP）。

操作说明

购买高防 EIP 后，系统会默认将其添加到DDoS原生防护2.0（后付费）实例或DDoS原生防护2.0（包年包月）的企业版的防护对象中，无需手动开启自动添加功能。

重要

同时不支持控制台手动添加。

默认添加规则

非 RD 场景下新购高防 EIP：
- 若仅有DDoS原生防护2.0（后付费）实例，自动添加到按量实例中。
- 若仅有DDoS原生防护2.0（包年包月）- 企业版实例，自动添加到企业版实例下。
- 若同时保有按量和包年包月企业版实例，优先添加到按量实例中。

RD 多账号场景（子账号开通高防 EIP 资产）：根据按量付费优先于包年包月、主账号资源优先于成员账号、包年包月实例优先匹配大剩余容量的层级策略进行自动关联。

优先级	账号	实例
1	RD 主账号	DDoS原生防护2.0（后付费）
2	RD 子账号	DDoS原生防护2.0（后付费）
3	RD 主账号	DDoS原生防护2.0（包年包月）- 企业版说明优先选择剩余容量较大者。
4	RD 成员账号	DDoS原生防护2.0（包年包月）- 企业版说明优先选择剩余容量较大者。

高防 EIP 的生命周期

高防 EIP 资产的生命周期与 DDoS 原生防护 2.0 企业版实例对齐：

当高防 EIP 在网络产品侧被释放后，EIP 会通过接口将资产信息同步给原生防护，该资产将自动从原生防护实例中移除。
原生防护（包年包月）实例到期后，会通过接口消息同步给 EIP 停止转发。停止转发后，续费后允许继续使用。未续费实例将按照原生实例生命周期逻辑进行停机释放。
原生防护实例停机释放的同时，绑定的高防 EIP 也会被自动释放。高防 EIP 将停止提供服务，相关配置和数据将被永久删除，不可恢复。
警告
请在原生防护实例释放前完成对高防 EIP 上业务和数据的迁移，避免带来数据丢失。

管理防护对象

开启近源压制

近源压制即在指定的封禁时间内直接丢弃所有跨境业务流量，适用于业务本身不存在跨境流量的场景。近源压制一般通过运营商骨干网核心路由器，在靠近攻击源的位置丢弃特定区域的流量。

地域支持规则：
- 中国内地公网 IP 资产：开启近源压制后，将封禁所有来自非中国内地（含海外地域、中国香港、中国澳门、中国台湾）的流量。
- 非中国内地公网 IP 资产（含海外地域、中国香港、中国澳门、中国台湾）：不支持近源压制。
解除机制：封禁时间结束后流量封禁自动解除。同时支持手动关闭近源压制，提前解除流量封禁。
配额与限制：实效近源压制策略有一定的时效性以及每月 10 次的额度限制。
说明
建议在遭受 DDoS 攻击时，登录流量安全产品控制台，在攻击分析页面查看具体攻击事件详情。如果发现攻击流量均来自跨境 IP 后，再为公网 IP 资产开启近源压制，避免额度浪费。

操作步骤

登录流量安全产品控制台。
在顶部菜单栏左上角处，选择实例所在资源组和地域。
- 原生防护1.0（包年包月）实例：请选择实例所在地域。
- 原生防护2.0（包年包月）实例、原生防护2.0（后付费）实例：请选择全球。
在左侧导航栏，选择网络安全 > DDoS原生防护 > 防护对象。
选择目标实例后，定位到目标 IP，开启近源压制列的开关，设置封禁时长。
说明
封禁时长支持30分钟~1天，通过封禁开始时间和封禁结束时间控制，封禁时长设置生效后不支持修改。如果需要修改封禁时长，必须先关闭已生效的近源压制再重新开启近源压制。
设置完成后可在资产列表中查看配置，等待已设置的封禁时长结束后，流量封禁将自动取消，公网 IP 的近源压制状态将变更为关闭。

查看防护对象详情

登录流量安全产品控制台。
在顶部菜单栏左上角处，选择实例所在资源组和地域。
- 原生防护1.0（包年包月）实例：请选择实例所在地域。
- 原生防护2.0（包年包月）实例、原生防护2.0（后付费）实例：请选择全球。
在左侧导航栏，选择网络安全 > DDoS原生防护 > 防护对象。

在防护对象页面，选择要查看的实例，可以查看该实例下的公网 IP 资产的防护配置详情。

IP 资产、WAF 资产

信息项	说明
资产IP	该实例绑定的公网 IP 资产。
资产归属	如果当前阿里云账号开通了多账号管理功能且为管理账号，且使用原生防护 2.0 企业版实例，会显示该项。表示该公网 IP 资产所属的阿里云账号。
清洗阈值	触发流量清洗的最小访问带宽，包括流量（Mbps）和报文数量（PPS）。更多信息，请参见防护对象的清洗阈值说明。
资产区域	公网 IP 资产所属的地域。
资产类型	公网 IP 资产的资产类型。
状态	公网 IP 资产的 DDoS 安全状态。正常黑洞中：单击操作列的解除黑洞，在解除黑洞对话框中查看剩余黑洞解除次数，确认解除黑洞后单击确定。可以查看黑洞事件记录，具体操作，请参见查看黑洞事件记录。
防护模版	公网 IP 资产关联的防护策略模板。如果为默认，表示该公网 IP 资产没有设置防护策略，使用的 DDoS 原生防护的默认防护能力。如果为自定义的防护策略模板，单击模板，跳转到防护配置页面查看模板详情。
近源压制	是否开启近源压制。
操作	删除：删除防护对象。仅当资产 IP 状态为黑洞中时支持该操作。解除黑洞：仅当资产 IP 状态为黑洞中时支持该操作。查看实时生效策略：查看该公网 IP 资产防护策略的具体信息。

DDoS 防护（增强型）EIP（高防 EIP）

信息项	说明
IP	高防 EIP 地址。
资产归属	如果当前阿里云账号开通了多账号管理功能且为管理账号会显示该项，表示该高防 EIP 所属的阿里云账号。
清洗阈值	触发流量清洗的最小访问带宽，包括流量（Mbps）和报文数量（PPS）。更多信息，请参见防护对象的清洗阈值说明。
资产区域	高防 EIP 所属的地域。
资产类型	DDoS 防护（增强型）EIP（高防 EIP）。
端口数量	高防 EIP 下配置了端口防护的端口数量。单击目标 IP 左侧的图标，查看哪些端口配置了防护策略。
状态	高防 EIP 的 DDoS 安全状态。正常黑洞中：单击操作列的解除黑洞，在解除黑洞对话框中查看剩余黑洞解除次数，确认解除黑洞后单击确定。可以查看黑洞事件记录，具体操作，请参见查看黑洞事件记录。
防护模版	高防 EIP 关联的防护策略模板。如果为默认，表示该高防 EIP 没有设置防护策略，使用的 DDoS 原生防护的默认防护能力。如果为自定义的防护策略模板，单击模板，跳转到防护配置页面查看模板详情。
近源压制	是否开启近源压制。
操作	添加端口：添加指定端口。仅当高防 EIP 状态为黑洞中时支持该操作。解除黑洞：仅当高防 EIP 状态为黑洞中时支持该操作。查看实时生效策略：查看该高防 EIP 防护策略详情。

删除防护对象

在防护对象页面，选择目标实例。
在资产列表中，定位到目标公网 IP 资产或高防 EIP，单击操作列的删除。
在删除防护对象对话框中查看提示信息，然后单击确定。

批量调整资产绑定实例

登录流量安全产品控制台。
在顶部菜单栏左上角处，选择实例所在资源组，地域选择全球。
在左侧导航栏，选择网络安全 > DDoS原生防护 > 防护对象。
切换对应资产页签如DDoS防护（增强型）EIP，单击列表下方的批量调整资产绑定实例。
在对话框中选择目标原生防护实例，单击确认。

警告

批量迁移时，以下情况将导致整体迁移任务失败，不支持部分迁移成功：

资产区域不匹配：迁移目的实例不满足资产迁入的区域条件（如中国站资产迁移到仅支持非中国内地资产区域的实例）。
IP 数不足：迁移的资产数超过目的实例的 IP 数上限。
攻击状态：处于攻击状态中的 IP 不允许切换绑定实例。

后续操作

常见问题

高防 EIP 是否支持自动添加到防护对象？
高防 EIP 购买成功后会自动添加到防护对象中，无需手动开启。具体添加规则，请参见默认添加规则。
高防 EIP 可以作为防护对象进行近源压制吗？
支持。高防 EIP 作为防护对象，在遭受跨境 DDoS 攻击时，可以开启近源压制功能，封禁来自非中国内地的流量。近源压制策略有每月 10 次的额度限制，建议在遭受攻击时使用。
高防 EIP 的生命周期与原生实例如何对齐？
高防 EIP 的生命周期与 DDoS 原生防护 2.0 企业版实例对齐。当高防 EIP 释放后，资产会自动从原生实例中移除；当原生实例到期停机释放时，绑定的高防 EIP 也会被自动释放。详情请参见高防 EIP 的生命周期。
添加防护 IP 时，DDoS 原生防护实例的防护 IP 容量已占满该怎么办？
若需防护的 IP 数量超过了 DDoS 原生防护实例的保护 IP 数量（即防护 IP 容量），请扩展当前实例的保护 IP 数量或者重新购买新的 DDoS 原生防护实例，相关操作请参见实例管理和购买DDoS原生防护实例。
开通多账号统一管理后，已在成员账号下防护的公网 IP 资产，如何改为使用管理账号进行防护？
由于一个公网 IP 资产仅支持使用一个实例进行防护，需要先在成员账号下把该防护对象删除，再在管理账号下添加该防护对象。
添加防护 IP 时收到“IP 不属于你”的错误提示该怎么办？
请按照以下步骤进行排查：
1. 检查输入的 IP 地址，确认输入的 IP 地址正确无误。
2. 检查添加的防护 IP 对应的云产品所属的地域，确认该地域与 DDoS 原生防护实例的所属地域一致。
3. 如果添加的防护 IP 是 WAF IP，检查该 WAF 实例的所属地域，确认 DDoS 原生防护支持该地域。关于 DDoS 原生防护支持的地域，请参见什么是DDoS原生防护。
4. 如果添加的防护 IP 类型是 IPv6，请检查是否已开通公网带宽。如何为 ECS 开通 IPv6 公网带宽，请参见IPv6通信。