防护配置
阿里云DCDN为您提供DDoS防护功能,帮助您的加速域名更好地防御DDoS攻击。本文为您介绍如何在控制台开启DDoS防护功能的具体操作。
功能介绍
DDoS攻击指分布式拒绝服务攻击,即攻击者使用多个被破坏或受控的来源生成大量数据包或请求,最终使攻击的目标(源站)无法正常使用。阿里云DCDN提供DDoS防护服务,帮助您降低潜在DDoS攻击风险,减少业务损失并确保业务稳定可用。
开通DDoS防护功能后,当系统检测到DDoS攻击时,会进行自动化调度,将流量从DCDN切换至DDoS防护;攻击结束后,DDoS防护系统自动将流量切换回DCDN进行正常业务分发。
适用场景
DCDN DDoS防护功能已经面向所有客户开放,主要适用于金融、零售、交通、传媒及政府等企业级用户,使用场景包括但不限于以下:
金融行业
保障业务分发高可用,提升跨国访问体验,同时关注信息、交易、数据资产的安全防护,避免网络攻击给企业造成重大风险。
零售行业
保障企业官网,电商平台,订票平台,内部办公协同软件的网络分发质量,同时防护网络安全攻击,保证业务的持续可用性。
传媒行业
保障公共媒体内容高效传播,同时通过网络安全防护保障,避免业务突增和网络攻击对业务稳定性的影响。
游戏行业
适用于游戏平台服、战斗服加速,让战斗连接更加稳定、延迟更低,同时让平台服的广告网页、图片、视频、交易、游戏更新包等资源加载更快更顺畅。
产品优势
防御节点总带宽超过1 Tbps,富裕的带宽为客户提供全球范围的防护服务。
使用限制
同一个域名在DDoS高防实例中设置或者在DCDN DDoS防护中设置,只能二选一,不能同时配置。
支持云盾付费证书和自定义证书, HTTPS免费证书暂不支持DDoS防护功能的开启。
默认不支持IPv6网络服务,如需IPv6请填写信息申请。
目前仅支持业务常量在10 Gbps以下的客户使用,业务常量在10 Gbps以上时请勿开启DDoS防护,开启不生效。业务常量按照触发QPS阈值时,前12小时的带宽峰值计算。
根据以下逻辑自行判断后自行决定是否启动DDoS攻击防护:
自动判断您是否受到DDoS攻击。
按照您设置的QPS阈值判断是否受到DDoS防护,默认值为20000 QPS。配置范围为[2000,50000]QPS。
通过健康检查的路径才会切换到DDoS防护。47.97.249.17和47.244.34.181将用于探测您的源站,如果您的源站有IP白名单机制,请将这两个IP加入白名单,以确保监控探测可以正常运作。
根据以下逻辑自行判断后决定何时恢复DCDN服务:
出现四层DDoS攻击,攻击停止后3天恢复。
出现七层CC攻击,攻击停止后1天恢复。
如有特殊需求,可通过填写信息申请恢复。
购买和费用说明
当您开通边缘DDoS防护时,需要支付实例费用(不同版本实例价格不同),边缘DDoS实例购买:点击购买。
边缘DDoS防护计费详情,请参见边缘DDoS计费。
配置防护规则
您可以根据业务需要,单独对每个域名设置不同的QPS阈值,实现不同的DDoS防护触发时机。
登录DCDN控制台。
在左侧导航栏,单击。
在DDoS配置管理页面,单击添加DDoS防护。
在DDoS配置弹框,配置防护规则。
说明超过QPS阈值且健康的路径才会切换到DDoS高防防护。
如果您正在从阿里云DDoS防护产品迁移域名至阿里云DCDN,请您在阿里云DDoS控制台删除域名约5分钟后,再添加域名到阿里云DCDN并配置边缘DDoS防护,否则可能遇到域名添加报错问题。
参数
说明
防护域名
需要接入边缘DDoS防护的加速域名。
QPS阈值
超过阈值切换到DDoS高防防护,且前12小时域名带宽峰值未超过10 G。
取值范围:2000~50000
默认值:20000
健康检查
域名下需要健康检查的路径。
健康:切换到DDoS高防防护。
不健康:不会切换到DDoS高防防护。
默认值:/(代表域名默认根目录,例如:
/*/examplefile.txt)。说明目前仅支持单个路径检查。
目前仅支持英文路径。
智能CC
智能CC开关,开启后将使用AI智能防护阻挡CC攻击。
单击确定。
