Anti-DDoS Pro または Anti-DDoS Premium は、Web サイトサービスのドメイン名を Anti-DDoS Pro または Anti-DDoS Premium に解決することで、Web サイトサービスを保護します。 Web サイトサービス宛てのトラフィックは、Anti-DDoS Pro または Anti-DDoS Premium にリダイレクトされます。 その後、Anti-DDoS Pro または Anti-DDoS Premium はサービストラフィックをオリジンサーバーに転送します。 このトピックでは、Anti-DDoS Pro または Anti-DDoS Premium を構成および使用して Web サイトサービスを保護する方法について説明します。
前提条件
Anti-DDoS Proxy (中国本土) または Anti-DDoS Proxy (中国本土以外) インスタンスが購入済みであること。 詳細については、「Anti-DDoS Proxy インスタンスを購入する」をご参照ください。
手順 1: Web サイトサービスを追加する
Anti-DDoS Pro または Anti-DDoS Premium を使用して Web サイトサービスを保護するには、まず保護する Web サイトサービスのドメイン名を追加し、次に Anti-DDoS Pro または Anti-DDoS Premium コンソールでトラフィック転送ルールを構成する必要があります。
Anti-DDoS Proxy コンソール にログインします。
上部のナビゲーションバーで、インスタンスのリージョンを選択します。
Anti-DDoS Proxy (中国本土): 中国本土 リージョンを選択します。
Anti-DDoS Proxy (中国本土以外): 中国本土以外 リージョンを選択します。
左側のナビゲーションウィンドウで、 を選択します。
ドメイン接続 ページで、ドメインの追加 をクリックします。
説明ページの下部にある 一括ドメインインポート をクリックして、複数の Web サイトを一度に追加することもできます。 複数の Web サイトを追加するには、XML ファイルを使用して複数の Web サイト設定を一度にインポートする必要があります。 ファイル形式の詳細については、「XML ファイルの Web サイト設定」をご参照ください。
[Web サイトの設定] 手順で、パラメーターを構成し、次へ をクリックします。 次の表にパラメーターを示します。
パラメーター
説明
Function Plan
使用する Anti-DDoS Proxy インスタンスのプラン。 有効値: Standard および 強化。
説明
アイコンの横に表示されている Function Plan にポインターを移動すると、標準機能プランと拡張機能プランの違いを確認できます。詳細については、「標準機能プランと拡張機能プランの違い」をご参照ください。インスタンス
使用する Anti-DDoS Proxy インスタンス。
1 つのドメイン名に最大 8 つのインスタンスを関連付けることができます。 ドメイン名に関連付けられているインスタンスは、同じ Function Plan を使用する必要があります。
ドメイン
保護する Web サイトのドメイン名。 ドメイン名は次の要件を満たしている必要があります。
ドメイン名には、文字、数字、およびハイフン (-) を使用できます。 ドメイン名は、文字または数字で始まる必要があります。
ドメイン名は、
*.aliyundoc.comなどのワイルドカードドメイン名にすることができます。 ワイルドカードドメイン名を入力すると、Anti-DDoS Proxy はワイルドカードドメイン名のすべてのサブドメインを自動的に照合します。ワイルドカードドメイン名と完全一致ドメイン名を構成する場合、完全一致ドメイン名の転送ルールと軽減ポリシーが優先されます。 たとえば、
*.aliyundoc.comとwww.aliyundoc.comを構成した場合、www.aliyundoc.comの転送ルールと軽減ポリシーが優先されます。
説明第 2 レベルドメイン名を構成した場合、Anti-DDoS Proxy は第 2 レベルドメイン名のみを保護します。 Anti-DDoS Proxy は、第 2 レベルドメイン名のサブドメインを保護しません。 サブドメインを保護する場合は、サブドメインまたはワイルドカードドメイン名を構成します。
このパラメーターにはドメイン名のみを指定できます。 Web サイトの IP アドレスはサポートされていません。
プロトコル
Web サイトが使用するプロトコルのタイプ。 有効値:
HTTP
HTTPS: Web サイトが HTTPS を使用する場合は、HTTPS を選択します。 Web サイトを保存した後、SSL 証明書ファイルをアップロードする必要があります。 詳細については、「SSL 証明書をアップロードする」をご参照ください。 また、Web サイトのカスタム Transport Layer Security (TLS) ポリシーを構成することもできます。 詳細については、「カスタム TLS セキュリティポリシーを構成する」をご参照ください。
HTTPS を選択した場合は、[詳細設定] をクリックして次のオプションを構成できます。
HTTPS リダイレクトの有効化: Web サイトが HTTP と HTTPS の両方をサポートしている場合、この機能を使用できます。 この機能を有効にすると、Web サイトにアクセスするためのすべての HTTP リクエストは、標準ポート 443 での HTTPS リクエストにリダイレクトされます。
重要この機能は、HTTP と HTTPS の両方が選択され、Websocket がオフになっている場合にのみ使用できます。
非標準ポートで HTTP 経由で Web サイトにアクセスし、この機能を有効にした場合、すべての HTTP リクエストは標準ポート 443 での HTTPS リクエストにリダイレクトされます。
HTTPS back-to-origin リクエストのリダイレクトの有効化: Web サイトが HTTPS をサポートしていない場合は、この機能を有効にする必要があります。 この機能が有効になっている場合、すべての HTTPS リクエストは HTTP リクエストにリダイレクトされてオリジンサーバーに転送され、すべての WebSockets リクエストは WebSocket リクエストにリダイレクトされてオリジンサーバーに転送されます。 デフォルトでは、リクエストは標準ポート 80 経由でリダイレクトされます。
重要非標準ポートで HTTPS 経由で Web サイトにアクセスし、この機能を有効にした場合、すべての HTTPS リクエストは標準ポート 80 での HTTP リクエストにリダイレクトされます。
HTTP/2 の有効化: [HTTP/2 を有効にする] をオンにすると、HTTP/2 を使用するクライアントを Anti-DDoS Proxy に追加できます。 この場合、Anti-DDoS Proxy はすべてのクライアントリクエストを HTTP/1.1 経由でオリジンサーバーに転送します。
Websocket: Websocket を選択すると、HTTP が自動的に選択されます。 [プロトコルタイプ] パラメーターには、Websocket のみを選択することはできません。
Websockets: Websockets を選択すると、HTTPS が自動的に選択されます。 [プロトコルタイプ] パラメーターには、Websockets のみを選択することはできません。
サーバー IP
オリジンサーバーのアドレスタイプ。 オリジンサーバーのアドレスを入力する必要があります。
説明オリジンサーバーは、Alibaba Cloud サービスまたはサードパーティサービスにすることができます。 Alibaba Cloud サービスの場合は、現在のアカウントに属していることを確認してください。 別のアカウントにリンクされている場合は、追加する前にアカウントマネージャーに連絡してください。
オリジンサーバー IP: オリジンサーバーの IP アドレス。 最大 20 個の IP アドレスを入力できます。 複数の IP アドレスを入力する場合は、カンマ (,) で区切ります。
オリジンサーバーが ECS インスタンスでホストされている場合は、ECS インスタンスのパブリック IP アドレスを入力します。 ECS インスタンスが Server Load Balancer (SLB) インスタンスに関連付けられている場合は、SLB インスタンスのパブリック IP アドレスを入力します。
オリジンサーバーがデータセンターまたは他のクラウドにデプロイされている場合は、
ping ドメイン名コマンドを実行して、ドメイン名が解決されるパブリック IP アドレスをクエリし、パブリック IP アドレスを入力できます。
配信元サーバードメイン: オリジンサーバーのドメイン名。 オリジンサーバーと Anti-DDoS Proxy の間に Web Application Firewall (WAF) などのプロキシサービスをデプロイする場合に、このオプションを選択します。 プロキシのアドレスも入力する必要があります。 最大 10 個のドメイン名を入力できます。 複数のドメイン名を入力する場合は、改行で区切ります。
Anti-DDoS Proxy を WAF と共に使用する場合、配信元サーバードメイン を選択し、WAF が割り当てる CNAME を入力します。 これにより、Web サイトの保護が強化されます。 詳細については、「Anti-DDoS Proxy と WAF を使用して Web サイトサービスを保護する」をご参照ください。
重要配信元サーバードメイン に Object Storage Service (OSS) バケットのデフォルトのパブリックエンドポイントを入力する場合は、カスタムドメイン名をバケットにマッピングする必要があります。 詳細については、「リージョンとエンドポイント」および「カスタムドメイン名をマッピングする」をご参照ください。
複数の IP アドレスまたはドメイン名を入力すると、Anti-DDoS Proxy は IP ハッシュを使用して Web サイトトラフィックをオリジンサーバーに転送します。 Web サイト設定を保存した後、負荷分散アルゴリズムを変更できます。 詳細については、「Web サイトのオリジン復帰設定を変更する」をご参照ください。
サーバーポート
プロトコル の値に基づいて指定するサーバーポート。
HTTP または Websocket を選択した場合は、デフォルトポート 80 が使用されます。
HTTPS、HTTP/2、または Websockets を選択した場合は、デフォルトポート 443 が使用されます。
1 つ以上カスタムポートを指定できます。 複数カスタムポートを指定する場合は、ポートをカンマ (,) で区切ります。 カスタムポートを指定する場合は、次の制限事項に注意してください。
指定するカスタムポートは、Anti-DDoS Proxy でサポートされている必要があります。
Standard プランの Anti-DDoS Proxy インスタンス:
HTTP ポート: ポート 80 および 8080
HTTPS ポート: ポート 443 および 8443
強化 プランの Anti-DDoS Proxy インスタンス:
HTTP ポート: 80 ~ 65535 のポート
HTTPS ポート: 80 ~ 65535 のポート
Anti-DDoS Proxy インスタンスに追加されるすべての Web サイトに対して、最大 10 個カスタムポートを指定できます。 カスタムポートには、HTTP ポートと HTTPS ポートが含まれます。
たとえば、Web サイト A と Web サイト B を Anti-DDoS Proxy インスタンスに追加する場合、Web サイト A は HTTP サービスを提供し、Web サイト B は HTTPS サービスを提供します。 Web サイト A に HTTP ポート 80 と 8080 を指定した場合、Web サイト B には最大 8 つの HTTPS ポートを指定できます。
CNAME Reuse
CNAME の再利用を有効にするかどうかを指定します。 このパラメーターは、Anti-DDoS Proxy (中国本土以外) でのみ使用できます。
複数の Web サイトが同じサーバーでホストされている場合、この機能を使用できます。 CNAME の再利用を有効にした後、同じサーバーでホストされているドメイン名を、Anti-DDoS Proxy (中国本土以外) によって割り当てられた CNAME にマッピングするだけで済みます。 詳細については、「CNAME 再利用機能を使用する」をご参照ください。
[転送設定] 手順で、パラメーターを構成し、次へ をクリックします。 次の表にパラメーターを示します。
パラメーター
説明
[OCSP ステープリングを有効にする]
Online Certificate Status Protocol (OCSP) ステープリング機能を有効にするかどうかを指定します。
重要この機能は、HTTPS をサポートする Web サイトサービスでのみ使用できます。 プロトコル に HTTPS が選択されている場合は、この機能を有効にすることをお勧めします。
OCSP は、認証局 (CA) が証明書の失効ステータスを確認するために使用するインターネットプロトコルです。 クライアントがサーバーとの TLS ハンドシェイクを開始すると、クライアントは証明書と OCSP 応答を取得する必要があります。
OCSP ステープリング機能はデフォルトで無効になっています。 この場合、OCSP クエリはクライアントのブラウザから CA に送信されます。 クライアントが OCSP 応答を取得するまで、後続のイベントはブロックされます。 一時的な接続またはネットワークの切断が発生した場合、空白のページが長時間表示され、HTTPS をサポートする Web サイトのパフォーマンスが低下します。
OCSP ステープリング機能が有効になっている場合、Anti-DDoS Proxy は OCSP クエリを実行し、クエリ結果を 3,600 秒間キャッシュします。 クライアントがサーバーとの TLS ハンドシェイクを開始すると、Anti-DDoS Proxy は OCSP の詳細と証明書チェーンをクライアントに返します。 これにより、クライアントからの OCSP クエリによって発生するブロッキングの問題を防ぎます。 OCSP 応答は偽造できないため、OCSP はセキュリティリスクを引き起こしません。
[cookie 設定]
配信ステータス
デフォルトでは、配信ステータスは有効になっています。 有効にすると、Anti-DDoS Proxy はブラウザなどの Web サイトのクライアントに Cookie を挿入して、クライアントを他のクライアントと区別したり、クライアントのフィンガープリントなどの情報を取得したりします。 詳細については、「HTTP フラッド軽減機能を構成する」をご参照ください。
重要Anti-DDoS Proxy がサービスに Cookie を挿入しないようにするには、スイッチをオフにします。 ただし、このオプションを無効にすると、Anti-DDoS Proxy は HTTP フラッド軽減ルールを通じて HTTP フラッド攻撃を積極的に評価および防御できなくなります。
セキュア属性
セキュア属性はデフォルトで無効になっています。 有効にすると、Cookie は HTTPS 接続経由でのみ配信され、HTTP 接続経由では配信されません。これにより、攻撃者による Cookie の盗難を防ぐことができます。 Web サイトが HTTPS 接続のみをサポートしている場合は、このオプションを有効にすることをお勧めします。
トラフィックマーキング
送信元ポート
クライアントの送信元ポートを含む HTTP ヘッダーの名前。
ほとんどの場合、
X-Forwarded-ClientSrcPortヘッダーを使用して、クライアントの送信元ポートが記録されます。 カスタムヘッダーを使用してクライアントの送信元ポートを記録する場合は、[送信元ポート] にカスタムヘッダーを指定します。 Anti-DDoS Proxy がオリジンへのリクエストをオリジンサーバーに転送した後、オリジンサーバーはカスタムヘッダーを解析してクライアントの送信元ポートを取得します。 クライアントの送信元ポートを取得する手順は、クライアントの送信元 IP アドレスを取得する手順と似ています。 詳細については、「リクエストの送信元 IP アドレスを取得する」をご参照ください。送信元 IP アドレス
クライアントの送信元 IP アドレスを含む HTTP ヘッダーの名前。
ほとんどの場合、
X-Forwarded-Forヘッダーを使用して、クライアントの送信元 IP アドレスが記録されます。 カスタムヘッダーを使用してクライアントの送信元 IP アドレスを記録する場合は、[送信元 IP アドレス] にカスタムヘッダーを指定します。 Anti-DDoS Proxy がオリジンへのリクエストをオリジンサーバーに転送した後、オリジンサーバーはカスタムヘッダーを解析してクライアントの送信元 IP アドレスを取得します。カスタムヘッダー
Anti-DDoS Proxy を通過するリクエストにカスタム HTTP ヘッダーを追加して、リクエストをマークできます。 カスタム HTTP ヘッダーを追加するには、ヘッダー名と値を指定します。 カスタムヘッダーを作成すると、Anti-DDoS Proxy はカスタムヘッダーをオリジンへのリクエストに追加します。 これにより、バックエンドサーバーはオリジンへのリクエストに対して統計分析を実行できます。
次のデフォルトヘッダーをカスタムヘッダーとして使用しないでください。
X-Forwarded-ClientSrcPort: このヘッダーは、Anti-DDoS Proxy (レイヤー 7 プロキシ) にアクセスするクライアントの送信元ポートを取得するために使用されます。X-Forwarded-ProxyPort: このヘッダーは、Anti-DDoS Proxy (レイヤー 7 プロキシ) にアクセスするリスナーのポートを取得するために使用されます。X-Forwarded-For: このヘッダーは、Anti-DDoS Proxy (レイヤー 7 プロキシ) にアクセスするクライアントの送信元 IP アドレスを取得するために使用されます。
標準 HTTP ヘッダー (Host、User-Agent、Connection、Upgrade など) や広く使用されているカスタム HTTP ヘッダー (X-Real-IP、X-True-IP、X-Client-IP、Web-Server-Type、WL-Proxy-Client-IP、EagleEye-RPCID、EagleEye-TraceID、X-Forwarded-Cluster、X-Forwarded-Proto など) は使用しないでください。 上記のヘッダーを使用すると、元のヘッダーが上書きされます。
最大 5 つのカスタム HTTP ヘッダーを追加できます。
Back-to-origin スケジューリングアルゴリズム
オリジンへのリクエストの負荷分散アルゴリズム。 複数のオリジンサーバーアドレスが構成されている場合、このパラメーターは必須です。 オリジンサーバーアドレスは、IP アドレスまたはドメイン名にすることができます。 オリジンへのリクエストの負荷分散アルゴリズムを変更したり、サーバーアドレスの重みを指定したりできます。
IP hash: このオプションを選択すると、オリジンサーバーの重みを指定できます。 IP ハッシュオプションを使用すると、特定のクライアントからのリクエストを一定期間内に同じオリジンサーバーに転送できます。 これにより、セッションの一貫性が確保されます。 パフォーマンスの高いオリジンサーバーにより高い重みを指定できます。 これにより、高性能オリジンサーバーはより多くのリクエストを処理でき、リソース使用率が最適化されます。
ラウンドロビン: このオプションを選択すると、すべてのリクエストが順番にオリジンサーバーに配信されます。 デフォルトでは、すべてのオリジンサーバーの重みは同じです。 オリジンサーバーの重みは変更できます。 オリジンサーバーの重みが高いほど、オリジンへのリクエストがオリジンサーバーに転送される可能性が高くなります。
最小時間: このオプションを選択すると、システムはインテリジェントな DNS 解決と最短応答時間アルゴリズムを使用して、リクエストがオリジンサーバーに転送されるときの待ち時間を短縮します。
[その他の設定]
[新しい接続のタイムアウト期間を構成する]: 接続を確立するためのタイムアウト期間。 Anti-DDoS Proxy が指定されたタイムアウト期間内にオリジンサーバーへの接続を確立できなかった場合、接続リクエストは失敗します。 有効値: 1 ~ 10。 単位: 秒。
[読み取り接続のタイムアウト期間を構成する]: 読み取りリクエストを処理するためのタイムアウト期間。 オリジンサーバーが、確立された接続を介して Anti-DDoS Proxy から送信された読み取りリクエストに指定されたタイムアウト期間内に応答できなかった場合、読み取りリクエストは失敗します。 有効値: 10 ~ 300。 単位: 秒。
[書き込み接続のタイムアウト期間を構成する]: 書き込みリクエストを処理するためのタイムアウト期間。 Anti-DDoS Proxy がすべてのデータをオリジンサーバーに送信できなかった場合、またはオリジンサーバーが指定されたタイムアウト期間内にデータの処理を開始できなかった場合、書き込みリクエストは失敗します。 有効値: 10 ~ 300。 単位: 秒。
[オリジンへのリクエストを再試行する]: スイッチをオンにして、Anti-DDoS Proxy によってリクエストされたリソースをキャッシュサーバーから取得できない場合、キャッシュサーバーは上位レベルのキャッシュサーバーまたはオリジンサーバーからリソースを取得します。
[オリジンへの持続的接続]: スイッチをオンにすると、キャッシュサーバーとオリジンサーバー間の TCP 接続が一定期間アクティブなままになります。 リクエストが完了するたびに接続が閉じられることはありません。 これにより、接続の確立に必要な時間とリソースが削減され、リクエスト処理の効率と速度が向上します。
[持続的接続を再利用するリクエスト]: Anti-DDoS Proxy が TCP 接続を介してオリジンサーバーに送信できる HTTP リクエストの最大数。 持続的接続を使用すると、接続を頻繁に確立および切断することによって発生する待ち時間とリソース消費を削減できます。 有効値: 10 ~ 1000。 WAF や SLB インスタンスなど、オリジンサーバーで構成されている持続的接続を再利用するリクエスト数以下の値を指定することをお勧めします。 これにより、持続的接続の失敗によるサービスの停止を防ぐことができます。
[アイドル状態の持続的接続のタイムアウト期間]: Anti-DDoS Proxy がオリジンサーバーに確立するアイドル状態の持続的 TCP 接続のタイムアウト期間。 Anti-DDoS Proxy の接続プールで開いている TCP 接続を介してデータが送信されない場合、TCP 接続はアイドル状態と見なされます。 指定されたタイムアウト期間内にアイドル状態の TCP 接続で新しいリクエストが開始されない場合、接続は閉じられ、システムリソースが解放されます。 有効値: 10 ~ 30。 単位: 秒。 WAF や SLB インスタンスなど、オリジンサーバーで構成されているタイムアウト期間以下の値を指定することをお勧めします。 これにより、持続的接続の失敗によるサービスの停止を防ぐことができます。
[HTTP/2 ストリームの上限]: サーバーで許可される HTTP/2 ストリームの最大数。 この機能は、HTTP/2 が使用されている場合にのみ使用できます。 有効値: 16 ~ 32。 より大きな値を指定する場合は、アカウントマネージャーに連絡してください。
手順 2: Web サイトサービストラフィックを Anti-DDoS Pro または Anti-DDoS Premium に切り替える
インスタンスはトラフィックをスクラブしてから、サービストラフィックをオリジンサーバーに転送します。これにより、Web サイトサービスが DDoS 攻撃から保護されます。
Anti-DDoS Proxy インスタンスのオリジン復帰 CIDR ブロックをオリジンサーバーのホワイトリストに追加します。
ファイアウォールなどのセキュリティソフトウェアがオリジンサーバーにインストールされている場合は、Anti-DDoS Proxy インスタンスのオリジン復帰 IP アドレスをオリジンサーバーのホワイトリストに追加する必要があります。 これにより、Anti-DDoS Proxy からのトラフィックがオリジンサーバーのセキュリティソフトウェアによってブロックされないようになります。 詳細については、「オリジン復帰 IP アドレスがオリジンサーバーにアクセスできるようにする」をご参照ください。
コンピューターで転送設定が有効になっているかどうかを確認します。 詳細については、「ローカルコンピューターで転送設定を確認する」をご参照ください。
警告転送設定が有効になる前にサービストラフィックを Anti-DDoS Proxy に切り替えると、サービスが中断される可能性があります。
DNS レコードを変更して、サービストラフィックを Anti-DDoS Proxy に切り替えます。
Anti-DDoS Proxy は、追加した Web サイトに CNAME を割り当てます。 DNS レコードを変更して、ドメイン名を CNAME にマッピングする必要があります。 これにより、サービストラフィックを Anti-DDoS Proxy に切り替えて保護できます。 詳細については、「Web サイトのドメイン名を CNAME または IP アドレスにマッピングする」をご参照ください。
手順 3: 軽減ポリシーを構成する
Web サイトサービスを追加した後、DDoS グローバルミティゲーション、インテリジェント保護、および 頻度制御 がデフォルトで有効になります。 ウェブサイトサービスの保護 タブで、Web サイトサービスのその他の機能を有効にしたり、保護ルールを変更したりできます。
左側のナビゲーションウィンドウで、 を選択します。
ドメイン接続 ページで、管理するドメイン名を探し、操作 列の Mitigation 設定 をクリックします。
ウェブサイトサービスの保護 タブで、ドメイン名の軽減ポリシーを作成します。
パラメーター
説明
インテリジェント保護
インテリジェント保護はデフォルトで有効になっています。 インテリジェント保護により、インテリジェントでビッグデータベースの分析エンジンがワークロードのトラフィックパターンを学習し、新しいタイプの HTTP フラッド攻撃を検出してブロックし、ポリシーを動的に調整して悪意のあるリクエストをブロックできます。 保護モードとレベルは手動で変更できます。 詳細については、「インテリジェント保護機能を使用する」をご参照ください。
DDoS グローバルミティゲーション
Anti-DDoS グローバル軽減ポリシーはデフォルトで有効になっています。 Anti-DDoS Pro または Anti-DDoS Premium は、Anti-DDoS Pro または Anti-DDoS Premium に追加された Web サイトサービスに組み込みのグローバル軽減ポリシーを提供します。 グローバル軽減ポリシーは、トラフィックスクラブの強度に基づいて分類される 3 つのモードをサポートしています。 このポリシーは、ボリューム攻撃にできるだけ早く対応するのに役立ちます。 詳細については、「グローバル軽減ポリシーを構成する」をご参照ください。
ブラックリストおよびホワイトリスト (ドメイン名)
このポリシーが有効になっている場合、ブラックリストに登録されている IP アドレスまたは CIDR ブロックからのリクエストはブロックされ、ホワイトリストに登録されている IP アドレスまたは CIDR ブロックからのリクエストは許可されます。 詳細については、「ドメイン名のブラックリストとホワイトリストを構成する」をご参照ください。
ブロックされたリージョン (ドメイン名)
このポリシーは、ブロックされた場所の IP アドレスから開始されたリクエストをブロックするためのロケーションブラックリストを構成するのに役立ちます。 詳細については、「ドメイン名のロケーションブラックリストを構成する」をご参照ください。
正確なアクセス制御
このポリシーは、カスタムアクセス制御ルールを構成するのに役立ちます。 これらのルールを使用すると、IP、URI、Referer、User-Agent、Params などの一般的に使用される HTTP フィールドに基づいてリクエストをフィルタリングできます。 これらのルールを使用して、ルールに一致するリクエストを許可、ブロック、または検証することもできます。 詳細については、「正確なアクセス制御ルールを構成する」をご参照ください。
頻度制御
頻度制御はデフォルトで有効になっています。 送信元 IP アドレスから Web サイトサービスへのアクセス頻度を制限できます。 頻度制御は、有効にするとすぐに有効になります。 デフォルトでは、標準モードを使用して、一般的な HTTP フラッド攻撃から Web サイトサービスを保護します。 保護モードを手動で変更し、カスタムルールを作成して保護を強化できます。 詳細については、「HTTPフラッド軽減機能の設定」をご参照ください。
手順 4: Web サイトサービスの保護データを表示する
Web サイトサービスを Anti-DDoS Pro または Anti-DDoS Premium インスタンスに追加した後、セキュリティレポート機能とログ関連機能を使用して、Anti-DDoS Pro または Anti-DDoS Premium コンソールで保護データを表示できます。
セキュリティ概要 ページで、インスタンスとドメイン名の統計、および DDoS 攻撃の詳細を表示します。 詳細については、「セキュリティ概要」をご参照ください。
操作ログ ページで、重要な操作レコードを表示します。 詳細については、「操作ログをクエリする」をご参照ください。
Log Analysis ページで、Web サイトサービスのログを表示します。 詳細については、「ログ分析機能を使用する」をご参照ください。
説明ログ分析機能は付加価値サービスです。 このサービスを使用するには、購入して有効にする必要があります。 ログ分析機能が有効になっている場合、Web サイトサービスへのアクセスログと HTTP フラッド攻撃ログは、Alibaba Cloud Log Service によって収集および管理されます。 ログデータをリアルタイムで検索および分析し、ダッシュボードで検索結果を表示できます。 詳細については、「Log Service とは」をご参照ください。