购买DDoS高防实例

选购指南

购买DDoS高防实例

1. 访问购买页面

   访问DDoS高防（中国内地）购买页面或DDoS高防（非中国内地）购买页面。

2. 选择防护实例和防护参数

   参考选购指南，选择商品类型和防护套餐。

   DDoS高防（中国内地）-专业版

   • 防护套餐描述：

     • 接入模式： DNS解析牵引。

     • 资源预留： 1个独享 IP。

     • 带宽类型： 多线BGP。

     • 防护能力： 保底防护（预付费）+ 弹性防护（按量后付费）。

   • 防护参数

     • 地址类型：DDoS高防实例支持的IP协议类型。可选项：IPv4、IPv6。更多内容，请参见功能介绍。

       重要

       IPv6 高防 IP 支持转发来自 IPv6 客户端的请求，但对接入方式有以下限制：

       • 域名接入仅支持 IPv4 源站

       • 端口接入支持 IPv4 或 IPv6 源站。

     • 保底防护带宽：指可防御的 DDoS 攻击流量阈值。

     • 弹性防护带宽：为按量付费防护能力，当攻击流量超过保底防护带宽时，系统会自动启用弹性防护，确保业务不中断。费用介绍，请参见弹性防护带宽计费方式。

       说明

       若弹性防护带宽与保底防护带宽设置为相同数值，则不会触发弹性防护。

     • 防护节点：

       • 仅地址类型为IPv4时，支持选择防护节点，可选默认、华北、华北（北京）、华东（杭州）。

       • 可综合防护能力与访问延迟进行选择。更多内容，请参见如何选择防护节点。

         说明

         示例：若源站位于华东1（杭州），追求最低访问延迟应选择华东（杭州）节点，追求最高防护能力则应选择默认节点。

   DDoS高防（非中国内地）-保险防护、无限防护

   • 防护套餐描述：

     警告

     单独使用保险防护、无限防护时，中国内地用户访问将出现延迟大幅增加或无法访问，建议配合安全加速线路2.0优化访问质量。

     • 接入模式： DNS解析牵引。

     • 资源预留：1个独享Anycast IP。

     • 防护次数：

       • 保险防护：2次高级防护/月（每月刷新）

       • 无限防护：无限次高级防护

   • 防护参数

     IP注册地：根据业务实际需要选择IP注册地。支持的注册地：新加坡、中国香港、日本、美国西部、美国东部、英国、德国、马来西亚、印尼。

     说明

     • 印尼防护节点仅在 IP 注册地为印尼时提供，其他注册地暂不支持。

     • 马来西亚节点仅在 IP 注册地为马来西亚时提供，其他注册地暂不支持。

   DDoS高防（非中国内地）-安全加速线路2.0

   • 防护套餐描述：

     • 接入模式： DNS解析牵引。

     • 资源预留： 1个独享安全加速线路IP。

     • 防护能力：主要用于供中国内地访问加速使用，同时提供应用层DDoS防护能力，包括AI智能防护、全局防护策略、黑/白名单、区域封禁、自定义CC防护策略等。

     • 线路支持：支持电信、联通、移动线路。

   • 防护参数

     • 防护次数：高级防护次数，选购数量后，可额外享受电信、联通、移动线路的大流量DDoS高级防护能力。若选择否，仅提供中国内地访问加速能力。

       说明

       DDoS攻击开始持续防护24小时算作一次，每个自然月刷新。

     • IP注册地：根据业务实际需要选择IP注册地。支持的注册地：新加坡、日本。

   DDoS高防（非中国内地）-加速线路

   防护套餐描述：

   • 接入模式： DNS解析牵引。

   • 资源预留： 1个独享加速IP。

   重要

   仅供中国内地加速访问使用，无DDoS防护能力，建议升级至安全加速线路2.0。

   DDoS高防（非中国内地）-安全加速线路1.0

   • 防护套餐描述：

     • 接入模式： DNS解析牵引。

     • 资源预留： 1个独享安全加速线路IP。

     • 防护次数： 2次高级防护/月（每月刷新）。

       说明

       可购买高级防护资源包，获取更多防护次数。

     • 防护能力：供中国内地访问加速使用，以及电信、联通线路、非移动线路的DDoS防护能力。

       说明

       如需支持非中国内地的访问的DDoS防护，可配合保险防护、无限防护使用。

     • 线路支持：支持电信、联通线路。

       重要

       如需支持移动线路，请升级至安全加速线路2.0。

3. 设置扩展业务规格

   • 业务带宽：指用于承载正常业务流量的保底基础带宽能力。

     警告

     业务带宽不足时，可能会导致丢包或者影响业务，请您及时升级业务带宽或配置弹性业务带宽。具体操作，请参见升级实例。

     • 方案选择：可参考如下说明选择合适的规格。

       • 选择原则

         • 业务带宽应大于所有业务在网络入、出方向总流量峰值中较大的一侧，一般以出方向流量为主。若业务部署在阿里云 ECS 上，可参考查看实例监控信息查看流量峰值。

           说明

           此处流量指正常的业务流量，不包含攻击流量。

         • 部署多台源站服务器时，应统计所有源站服务器正常业务流量的总和。

       • 选择示例：

         如防护三个网站业务，每个业务出方向正常业务流量峰值均不超过 50 Mbps，则业务流量总和不超过 150 Mbps。此时，应选择大于 150 Mbps 的业务带宽。

     • 实例业务带宽上限：

       • DDoS高防（中国内地）：专业版（20000 Mbps）、高级版（20000 Mbps）

       • DDoS高防（非中国内地）：保险防护（5000 Mbps）、无限防护（5000 Mbps）、安全加速线路2.0（1500Mbps）、加速线路（1000 Mbps）、安全加速线路1.0（500 Mbps）

   • 95弹性业务带宽模式：为按量付费防护能力，当攻击流量超过保底业务带宽时，系统会自动启用弹性防护，确保业务不中断。计费模式包含日95模式、月95模式。费用介绍，请参见弹性业务带宽计费说明。

     说明

     最大弹性带宽增加量 = min（基础业务带宽 × 9，实例业务带宽上限 −基础业务带宽）。

   • 业务QPS：无攻击状态下DDoS高防实例最大可处理的并发请求速率，包含HTTP/HTTPS协议请求。业务QPS和连接数规格的对应关系，请参见QPS规格与连接数对应关系。

     • 中国内地：最大业务QPS为 100,000。

     • 非中国内地：最大业务QPS为 150,000。

     警告

     业务QPS不足时，可能会导致丢包或者影响业务，请您及时升级业务QPS规格或者启用弹性QPS。

   • 95弹性QPS模式：为按量付费防护能力，当实际业务 QPS 超过保底业务QPS时，系统会自动启用弹性防护，确保业务不中断。计费模式包含日95模式、月95模式。更多内容请参见弹性QPS计费说明、QPS规格与连接数对应关系。

     • 计算公式：弹性 QPS =min（ 业务QPS× 3，弹性QPS上限）。

     • 弹性QPS上限：

       • 中国内地：

         • IPv4高防IP：最大弹性QPS为 300,000。

         • IPv6高防IP：最大弹性QPS为 100,000。

       • 非中国内地：最大弹性QPS为 150,000。

   • 功能套餐：功能套餐从标准到增强，对应不同的防护能力、策略配置数量及性能优化等级。更多内容，请参见标准功能和增强功能的差异。

     • 标准功能：

       • 支持40条CC防护策略规则。

       • 支持最大200条七层黑白名单策略。

     • 增强功能：

       • 支持应用层防护增强策略，拦截非HTTP/HTTPS的应用层协议攻击。

       • 支持200条CC防护策略规则。

       • 支持最大2000条七层黑白名单策略。

       • 支持网站静态页面缓存，加速网站访问速度。

       • 支持高防与CDN联动，加速访问同时具备DDoS防护功能。

   • 防护域名数：可添加的HTTP/HTTPS域名数量，最大可设置2000。

     • 域名转发配置的所有域名，其归属的一级域名（站点）数量不能超过（防护域名数/10）个。

     • 域名转发配置时所有域名（包括一级域名、子域名和泛域名），总数量不得超过防护域名数。

     说明

     假设购买的防护域名数为 50个，配置了3个域名：www.abc.com、*.abc.com、www.xyz.com。

     • 一级域名（站点）数量为2个（abc.com 和 xyz.com），满足 ≤ 5（50/10） 的限制。

     • 域名总数为3个，满足 ≤ 50 的限制。

   • 端口数：支持防护的TCP和UDP协议的端口数量。

   • 资源组：选择实例在资源管理服务中所属的资源组，默认为默认资源组。 关于资源组的更多信息，请参见创建资源组。

   • 购买数量：选择要购买的实例的数量。

   • 购买时长：选择要购买的实例的有效期。如果选中到期自动续费，则在实例到期前自动触发续费。自动续费周期遵循以下规则，更多信息，请参见续费实例。

     • 按月购买时自动续费周期为一个月。

     • 按年购买时自动续费周期为一年。

查看实例规格并激活防护

• 查看规格信息

  进入DDoS高防控制台的实例管理页面，单击购买实例ID或右侧的管理，即可在详情页面查看到包括保底/弹性防护带宽、业务带宽、QPS等在内的所有规格信息。

• 激活防护

  购买实例后，防护不会自动生效。您必须手动完成以下配置，将业务流量牵引至高防实例，才能激活防护。

  1. 登录控制台

     进入 DDoS高防控制台

  2. 添加业务：

     在接入管理中，根据业务类型完成业务接入，如域名接入、端口接入。具体操作请参考添加网站配置（网站业务）、配置端口转发规则（游戏、App等非网站业务）。

  3. 切换流量：

     将业务的DNS解析记录，修改为DDoS高防分配的CNAME地址或高防IP地址，具体操作请参见使用CNAME或IP将网站域名解析到DDoS高防、CNAME解析接入非网站业务。

配额与限制

• ICP备案：若需要防护的业务为部署在中国内地的网站，其域名必须已根据中国相关法律法规完成 ICP 备案。

• IPv6源站限制：若选择购买IPv6地址类型的高防实例，并通过域名方式接入网站业务，高防目前仅支持将流量转发至IPv4协议的源站服务器。

• 海外访问限制：

  • 单独使用DDoS高防（非中国内地） - 保险防护或无限防护版本时，中国内地用户访问业务会出现延迟显著增加甚至无法访问的情况。

    说明

    建议同时购买DDoS高防（非中国内地）-安全加速线路2.0保证中国内地用户访问通畅。

  • 单独使用DDoS高防（非中国内地）-安全加速线路2.0时，默认不支持来自海外地域的访问。

    说明

    如业务存在海外客户端访问，建议同时购买DDoS高防（非中国内地） - 保险防护或无限防护使用。

  • 部分防护节点（如印尼、马来西亚）仅对特定IP注册地的实例开放。

产品计费

DDoS高防的费用由预付费的实例费用和后付费的弹性费用组成。

• 实例费用（预付费）：根据选择的保底防护带宽、业务带宽、QPS等规格按月或按年支付。费用详情，请参见DDoS高防（非中国内地）保险防护和无限防护计费说明、DDoS高防（非中国内地）加速线路计费说明、DDoS高防（非中国内地）安全加速线路计费说明。

• 弹性防护费用（后付费）：仅当DDoS攻击流量超过保底防护带宽时，按天根据实际攻击流量峰值计费。费用详情，请参见弹性防护带宽计费方式。

• 弹性业务带宽/QPS费用（后付费）：仅当正常业务流量或QPS超过保底规格时，按日或月95峰值计费。费用详情，请参见弹性业务带宽计费说明、弹性QPS计费说明。

• 高级防护资源包： 针对特定实例，还可以按需购买高级防护资源包。费用详情，请参见高级防护资源包计费说明。

退订服务

实例购买后5天内，且未接入任何业务流量，支持申请非全额退订。其他情况不支持退订。

附录

常见问题

• 什么是一级域名（站点）？

  购买域名时，用户注册的完整域名被定义为“一级域名”。例如：

  • aliyun.com 为一级域名。

  • 子域名（如 www.aliyun.com、abc.aliyun.com）和泛域名（如 *.aliyun.com）均不是一级域名，但均归属于同一个一级域名 （站点）aliyun.com。

• DDoS高防和DDoS原生防护有什么区别？应该选哪个？

  两者核心区别在于接入方式和防护范围。

  • DDoS高防：代理清洗模式。通过引流流量进行防护，支持防护云上及云下（IDC、其他云）的服务器，能抵御网络层和应用层（CC）攻击。适用于对防护能力和业务可用性要求高的场景。

  • DDoS原生防护：增强模式。直接提升阿里云资产（如ECS、SLB）的默认防护阈值，接入简单，无需更改DNS，主要针对网络层攻击。

  选择建议：

  • 选择DDoS高防：业务为网站、需要抵御CC攻击、服务器不在阿里云或需要极高防护能力的场景。

  • 选择DDoS原生防护：业务是阿里云上的非网站服务，且希望简化接入场景。