Anti-DDoS：購買DDoS高防執行個體

選購指南

購買DDoS高防執行個體

1. 訪問購買頁面

   訪問DDoS高防（中國內地）購買頁面或DDoS高防（非中國內地）購買頁面。

2. 選擇防護執行個體和防護參數

   參考選購指南，選擇商品類型和防护套餐。

   DDoS高防（中國內地）-專業版

   • 套餐类型描述：

     • 接入模式： DNS解析牽引。

     • 資源預留： 1個獨享 IP。

     • 頻寬類型： 多線BGP。

     • 防護能力： 保底防護（預付費）+ 彈性防護（按量後付費）。

   • 防護參數

     • 地址類型：DDoS高防執行個體支援的IP協議類型。可選項：IPv4、IPv6。更多內容，請參見功能介紹。

       重要

       IPv6 高防 IP 支援轉寄來自 IPv6 用戶端的請求，但對接入方式有以下限制：

       • 網域名稱接入僅支援 IPv4 來源站點

       • 連接埠接入支援 IPv4 或 IPv6 來源站點。

     • 保底防护带宽：指可防禦的 DDoS 攻擊流量閾值。

     • 彈性防護頻寬：為隨用隨付防護能力，當攻擊流量超過保底防护带宽時，系統會自動啟用彈性防護，確保業務不中斷。費用介紹，請參見彈性防護頻寬計費方式。

       說明

       若彈性防護頻寬與保底防护带宽設定為相同數值，則不會觸發彈性防護。

     • 防護節點：

       • 僅地址類型為IPv4時，支援選擇防護節點，可選預設、華北、華北（北京）、華東（杭州）。

       • 可綜合防護能力與訪問延遲進行選擇。更多內容，請參見如何選擇防護節點。

         說明

         樣本：若來源站點位於華東1（杭州），追求最低訪問延遲應選擇華東（杭州）節點，追求最高防護能力則應選擇預設節點。

   DDoS高防（非中國內地）-保险防护、无限防护

   • 防護套餐描述：

     警告

     單獨使用保险防护、无限防护時，中國內地使用者訪問將出現延遲大幅增加或無法訪問，建議配合安全加速線路2.0最佳化訪問品質。

     • 接入模式： DNS解析牽引。

     • 資源預留：1個獨享Anycast IP。

     • 防護次數：

       • 保险防护：2次進階防護/月（每月重新整理）

       • 无限防护：無限次進階防護

   • 防護參數

     IP注冊地：根據業務實際需要選擇IP註冊地。支援的註冊地：新加坡、中國香港、日本、美國西部、美國東部、英國、德國、馬來西亞、印尼。

     說明

     • 印尼防護節點僅在 IP 註冊地為印尼時提供，其他註冊地暫不支援。

     • 馬來西亞節點僅在 IP 註冊地為馬來西亞時提供，其他註冊地暫不支援。

   DDoS高防（非中國內地）-安全加速線路2.0

   • 防護套餐描述：

     • 接入模式： DNS解析牽引。

     • 資源預留： 1個獨享安全加速線路IP。

     • 防護能力：主要用於供中國內地訪問加速使用，同時提供應用程式層DDoS防護能力，包括AI智能防護、全域防護策略、黑/白名單、地區封鎖、自訂CC防護策略等。

     • 線路支援：支援電信、聯通、移動線路。

   • 防護參數

     • 防护次数：進階防護次數，選購數量後，可額外享受電信、聯通、移動線路的大流量DDoS進階防護能力。若選擇否，僅提供中國內地訪問加速能力。

       說明

       DDoS攻擊開始持續防護24小時算作一次，每個自然月重新整理。

     • IP注冊地：根據業務實際需要選擇IP註冊地。支援的註冊地：新加坡、日本。

   DDoS高防（非中國內地）-加速線路

   防護套餐描述：

   • 接入模式： DNS解析牽引。

   • 資源預留： 1個獨享加速IP。

   重要

   僅供中國內地加速訪問使用，無DDoS防護能力，建議升級至安全加速線路2.0。

   DDoS高防（非中國內地）-安全加速線路1.0

   • 防護套餐描述：

     • 接入模式： DNS解析牽引。

     • 資源預留： 1個獨享安全加速線路IP。

     • 防護次數： 2次進階防護/月（每月重新整理）。

       說明

       可購買進階防護資源套件，擷取更多防護次數。

     • 防護能力：供中國內地訪問加速使用，以及電信、聯通線路、非移動線路的DDoS防護能力。

       說明

       如需支援非中國內地的訪問的DDoS防護，可配合保险防护、无限防护使用。

     • 線路支援：支援電信、聯通線路。

       重要

       如需支援移動線路，請升級至安全加速線路2.0。

3. 設定擴充業務規格

   • 業務頻寬：指用於承載正常業務流量的保底基礎頻寬能力。

     警告

     業務頻寬不足時，可能會導致丟包或者影響業務，請您及時升級業務頻寬或配置彈性業務頻寬。具體操作，請參見升級執行個體。

     • 方案選擇：可參考如下說明選擇合適的規格。

       • 選擇原則

         • 業務頻寬應大於所有業務在網路入、出方向總流量峰值中較大的一側，一般以出方向流量為主。若業務部署在阿里雲 ECS 上，可參考查看執行個體監控資訊查看流量峰值。

           說明

           此處流量指正常的業務流量，不包含攻擊流量。

         • 部署多台來源站點伺服器時，應統計所有來源站點伺服器正常業務流量的總和。

       • 選擇樣本：

         如防護三個網站業務，每個業務出方向正常業務流量峰值均不超過 50 Mbps，則業務流量總和不超過 150 Mbps。此時，應選擇大於 150 Mbps 的業務頻寬。

     • 執行個體業務頻寬上限：

       • DDoS高防（中國內地）：專業版（20000 Mbps）、進階版（20000 Mbps）

       • DDoS高防（非中國內地）：保险防护（5000 Mbps）、无限防护（5000 Mbps）、安全加速線路2.0（1500Mbps）、加速線路（1000 Mbps）、安全加速線路1.0（500 Mbps）

   • 95彈性業務帶寬模式：為隨用隨付防護能力，當攻擊流量超過保底業務頻寬時，系統會自動啟用彈性防護，確保業務不中斷。計費模式包含日95模式、月95模式。費用介紹，請參見彈性業務頻寬計費說明。

     說明

     最大彈性頻寬增加量 = min（基礎業務頻寬 × 9，執行個體業務頻寬上限 −基礎業務頻寬）。

   • 业务QPS：無攻擊狀態下DDoS高防執行個體最大可處理的並發請求速率，包含HTTP/HTTPS協議請求。業務QPS和串連數規格的對應關係，請參見QPS規格與串連數對應關係。

     • 中國內地：最大业务QPS為 100,000。

     • 非中國內地：最大业务QPS為 150,000。

     警告

     業務QPS不足時，可能會導致丟包或者影響業務，請您及時升級業務QPS規格或者啟用彈性QPS。

   • 95彈性QPS模式：為隨用隨付防護能力，當實際業務 QPS 超過保底业务QPS時，系統會自動啟用彈性防護，確保業務不中斷。計費模式包含日95模式、月95模式。更多內容請參見彈性QPS計費說明、QPS規格與串連數對應關係。

     • 計算公式：彈性 QPS =min（ 業務QPS× 3，彈性QPS上限）。

     • 彈性QPS上限：

       • 中國內地：

         • IPv4高防IP：最大彈性QPS為 300,000。

         • IPv6高防IP：最大彈性QPS為 100,000。

       • 非中國內地：最大彈性QPS為 150,000。

   • 功能套餐：功能套餐從標準到增強，對應不同的防護能力、策略配置數量及效能最佳化等級。更多內容，請參見標準功能和增強功能的差異。

     • 標準功能：

       • 支援40條CC防護策略規則。

       • 支援最大200條七層黑白名單策略。

     • 增強功能：

       • 支援應用程式層防護增強策略，攔截非HTTP/HTTPS的應用程式層協議攻擊。

       • 支援200條CC防護策略規則。

       • 支援最大2000條七層黑白名單策略。

       • 支援網站靜態頁面緩衝，加速網站訪問速度。

       • 支援高防與CDN聯動，加速訪問同時具備DDoS防護功能。

   • 防護網域名稱數：可添加的HTTP/HTTPS網域名稱數量，最大可設定2000。

     • 網域名稱轉寄配置的所有網域名稱，其歸屬的頂層網域（網站）數量不能超過（防護網域名稱數/10）個。

     • 網域名稱轉寄配置時所有網域名稱（包括頂層網域、子網域名稱和泛網域名稱），總數量不得超過防護網域名稱數。

     說明

     假設購買的防護網域名稱數為 50個，配置了3個網域名稱：www.abc.com、*.abc.com、www.xyz.com。

     • 頂層網域（網站）數量為2個（abc.com 和 xyz.com），滿足 ≤ 5（50/10） 的限制。

     • 網域名稱總數為3個，滿足 ≤ 50 的限制。

   • 連接埠數：支援防護的TCP和UDP協議的連接埠數量。

   • 资源组：選擇執行個體在資源管理服務中所屬的資源群組，預設為預設資源群組。 關於資源群組的更多資訊，請參見建立資源群組。

   • 購買數量：選擇要購買的執行個體的數量。

   • 購買時間長度：選擇要購買的執行個體的有效期間。如果選中到期自動續約，則在執行個體到期前自動觸發續約。自動續約周期遵循以下規則，更多資訊，請參見續約執行個體。

     • 按月購買時自動續約周期為一個月。

     • 按年購買時自動續約周期為一年。

查看執行個體規格並啟用防護

• 查看規格資訊

  進入DDoS高防控制台的執行個體管理頁面，單擊購買執行個體ID或右側的管理，即可在詳情頁面查看到包括保底/彈性防護頻寬、業務頻寬、QPS等在內的所有規格資訊。

• 啟用防護

  購買執行個體後，防護不會自動生效。您必須手動完成以下配置，將業務流量牽引至高防執行個體，才能啟用防護。

  1. 登入控制台

     進入 DDoS高防控制台

  2. 添加業務：

     在接入管理中，根據業務類型完成業務接入，如網域名稱接入、連接埠接入。具體操作請參考添加網站配置（網站業務）、配置連接埠轉寄規則（遊戲、App等非網站業務）。

  3. 切換流量：

     將業務的DNS解析記錄，修改為DDoS高防分配的CNAME地址或高防IP地址，具體操作請參見使用CNAME或IP將網站網域名稱解析到DDoS高防、CNAME解析接入非網站業務。

配額與限制

• ICP備案：若需要防護的業務為部署在中國內地的網站，其網域名稱必須已根據中國相關法律法規完成 ICP 備案。

• IPv6來源站點限制：若選擇購買IPv6地址類型的高防執行個體，並通過網域名稱方式接入網站業務，高防目前僅支援將流量轉寄至IPv4協議的來源站點伺服器。

• 海外訪問限制：

  • 單獨使用DDoS高防（非中國內地） - 保险防护或无限防护版本時，中國內地使用者訪問業務會出現延遲顯著增加甚至無法訪問的情況。

    說明

    建議同時購買DDoS高防（非中國內地）-安全加速線路2.0保證中國內地使用者訪問通暢。

  • 單獨使用DDoS高防（非中國內地）-安全加速線路2.0時，預設不支援來自海外地區的訪問。

    說明

    如業務存在海外用戶端訪問，建議同時購買DDoS高防（非中國內地） - 保险防护或无限防护使用。

  • 部分防護節點（如印尼、馬來西亞）僅對特定IP註冊地的執行個體開放。

產品計費

DDoS高防的費用由預付費的執行個體費用和後付費的彈性費用組成。

• 執行個體費用（預付費）：根據選擇的保底防護頻寬、業務頻寬、QPS等規格按月或按年支付。費用詳情，請參見DDoS高防（非中國內地）保險防護和無限防護計費說明、DDoS高防（非中國內地）加速線路計費說明、DDoS高防（非中國內地）安全加速線路計費說明。

• 彈性防護費用（後付費）：僅當DDoS攻擊流量超過保底防護頻寬時，按天根據實際攻擊流量峰值計費。費用詳情，請參見彈性防護頻寬計費方式。

• 彈性業務頻寬/QPS費用（後付費）：僅當正常業務流量或QPS超過保底規格時，按日或月95峰值計費。費用詳情，請參見彈性業務頻寬計費說明、彈性QPS計費說明。

• 進階防護資源套件： 針對特定執行個體，還可以按需購買進階防護資源套件。費用詳情，請參見進階防護資源套件計費說明。

退訂服務

執行個體購買後不支援退訂，請您購買前合理評估業務需求。

附錄

常見問題

• 什麼是頂層網域（網站）？

  購買網域名稱時，使用者註冊的完整網域名稱被定義為“頂層網域”。例如：

  • aliyun.com 為頂層網域。

  • 子網域名稱（如 www.aliyun.com、abc.aliyun.com）和泛網域名稱（如 *.aliyun.com）均不是頂層網域，但均歸屬於同一個頂層網域 （網站）aliyun.com。

• DDoS高防和DDoS原生防護有什麼區別？應該選哪個？

  兩者核心區別在於接入方式和防護範圍。

  • DDoS高防：代理清洗模式。通過引流流量進行防護，支援防護雲上及雲下（IDC、其他雲）的伺服器，能抵禦網路層和應用程式層（CC）攻擊。適用於對防護能力和業務可用性要求高的情境。

  • DDoS原生防護：增強模式。直接提升阿里雲資產（如ECS、SLB）的預設防護閾值，接入簡單，無需更改DNS，主要針對網路層攻擊。

  選擇建議：

  • 選擇DDoS高防：業務為網站、需要抵禦CC攻擊、伺服器不在阿里雲或需要極高防護能力的情境。

  • 選擇DDoS原生防護：業務是阿里雲上的非網站服務，且希望簡化接入情境。