一旦发生域名被劫持、非法转移或DNS篡改,可能导致服务中断、用户信息泄露、品牌声誉受损,甚至造成重大经济损失。阿里云提供覆盖账户、注册商、注册局到DNS解析层的防御体系,支持从基础防护到企业级高安全场景的灵活配置。
本文将为您系统介绍各项安全能力,并帮助您根据自身角色与业务场景,快速判断应启用哪些防护措施。具体配置步骤与技术细节,可参考各子页面文档。
阿里云提供的核心安全能力
防护层级 | 安全功能 | 核心防护目标 | 费用 |
账户层 | 多因素认证(MFA) | 防止账号被盗,在用户名和密码之外再额外增加一层安全保护。 | 免费 |
注册商层 | 禁止转移锁 | 阻止域名被恶意转出至其他注册商。 | 免费 |
禁止更新锁 | 防止联系人信息、NS服务器等关键设置被篡改。 | 免费 | |
注册局层 | 注册局安全锁 | 提供最高级别锁定,任何变更均需人工核验,抵御高级持续性攻击。 | 收费 |
解析层 | DNSSEC | 防范DNS劫持与缓存污染,确保用户访问的是真实服务器。 | 收费 |
使用场景推荐
根据业务实际情况参考配置:
用户类型 | 典型场景 | 推荐防护组合 |
个人开发者 / 博主 | - 域名主要用于展示或学习 | MFA + 禁止转移锁 |
中小企业运营者 | - 网站已上线并对外服务 | MFA + 禁止转移锁 + 禁止更新锁 |
企业IT/运维负责人 | - 主域名承载登录系统、支付页面或会员服务 | MFA + 禁止转移锁 + 禁止更新锁 + 注册局安全锁 + DNSSEC |
各防护能力简介
多因素认证(MFA)
MFA(Multi-Factor Authentication,多因素认证)是一种提升账号安全性的最佳实践,它能够在用户名和密码之外再额外增加一层安全保护。
启用MFA后,登录阿里云时需完成以下两步验证:
第一重验证:输入您的账号名和密码。
第二重验证:其他验证方式,例如虚拟MFA每30秒自动生成的6位动态验证码。
通过双重认证,即使密码泄露,未持有您手机的人也无法登录您的账号,有效防止账号被盗,极大提升安全性。具体操作可参考配置账号的MFA。
禁止转移锁
开启后域名将被置为注册商禁止转移状态(clientTransferProhibited),避免您的域名被恶意转出阿里云。
如需获取域名转移密码,需先关闭禁止转移锁。
开启禁止转移锁的具体操作可参考设置禁止转移锁。
禁止更新锁
开启后可防止您的域名注册信息(域名联系人、电话、地址、传真、电子邮箱)、域名DNS服务器被恶意篡改。目前“.com/.net/.org/.info/.biz/.mobi/.asia/.me/.so/.cc/.tv/.name/.tel/.cn/.中国 /.公司/.网络”等后缀域名支持开启禁止更新锁。
开启禁止更新锁的具体操作可参考开启禁止更新锁。
注册局安全锁
注册局安全锁是目前最高等级的域名安全保护措施,由注册局在根服务器层面操作,禁止域名被恶意转移、篡改及删除。目前“.com/.cn/.net/.cc/.tv/.name/.中国/.gov.cn”等后缀域名支持开启注册局安全锁。开启注册局安全锁后,域名将被置为以下三种锁定状态:
注册局设置禁止删除(serverDeleteProhibited)
注册局设置禁止转移(serverTransferProhibited)
注册局设置禁止更新(serverUpdateProhibited)
如果需要对域名做任何状态的变更及信息更改,需先解除对应的锁定状态。具体操作可参考使用注册局安全锁。
DNSSEC
域名系统安全扩展(DNS Security Extensions,简称DNSSEC)是用于确定源域名可靠性的数字签名 ,通过在域名中添加DNSSEC记录,可以增强对DNS域名服务器的身份认证,有效防止DNS缓存污染等攻击。具体操作可参考配置DNSSEC。