一旦發生網域名稱被劫持、非法轉移或DNS篡改,可能導致服務中斷、使用者資訊泄露、品牌聲譽受損,甚至造成重大經濟損失。阿里雲提供覆蓋賬戶、註冊商到DNS解析層的防禦體系,支援從基礎防護到企業級高安全情境的靈活配置。
本文將為您系統介紹各項安全能力,並協助您根據自身角色與業務情境,快速判斷應啟用哪些防護措施。具體配置步驟與技術細節,可參考各子頁面文檔。
阿里雲提供的核心安全能力
防護層級 | 安全功能 | 核心防護目標 | 費用 |
賬戶層 | 多因素認證(MFA) | 防止帳號被盜,在使用者名稱和密碼之外再額外增加一層安全保護。 | 免費 |
註冊商層 | 禁止轉移鎖 | 阻止網域名稱被惡意轉出至其他註冊商。 | 免費 |
禁止更新鎖定 | 防止連絡人資訊、NS伺服器等關鍵設定被篡改。 | 免費 | |
解析層 | DNSSEC | 防範DNS劫持與緩衝汙染,確保使用者訪問的是真實伺服器。 | 收費 |
使用情境推薦
根據業務實際情況參考配置:
使用者類型 | 典型情境 | 推薦防護組合 |
個人開發人員 / 博主 | - 網域名稱主要用於展示或學習 | MFA + 禁止轉移鎖 |
中小企業營運者 | - 網站已上線並對外服務 | MFA + 禁止轉移鎖 + 禁止更新鎖定 |
企業IT/營運負責人 | - 主網域名稱承載登入系統、支付頁面或會員服務 | MFA + 禁止轉移鎖 + 禁止更新鎖定 + DNSSEC |
各防護能力簡介
多因素認證(MFA)
MFA(Multi-Factor Authentication,多因素認證)是一種提升帳號安全性的最佳實務,它能夠在使用者名稱和密碼之外再額外增加一層安全保護。
啟用MFA後,登入阿里雲時需完成以下兩步驗證:
第一重驗證:輸入您的帳號名和密碼。
第二重驗證:其他驗證方式,例如虛擬MFA每30秒自動產生的6位動態驗證碼。
通過雙重認證,即使密碼泄露,未持有您手機的人也無法登入您的帳號,有效防止帳號被盜,極大提升安全性。具體操作可參考配置帳號的MFA。
禁止轉移鎖
開啟後網域名稱將被置為註冊商禁止轉移狀態(clientTransferProhibited),避免您的網域名稱被惡意轉出阿里雲。
如需擷取網域名稱轉移密碼,需先關閉禁止轉移鎖。
開啟禁止轉移鎖的具體操作可參考設定禁止轉移鎖。
禁止更新鎖定
開啟後可防止您的網域名稱註冊資訊(網域名稱連絡人、電話、地址、傳真、電子郵箱)、網域名稱DNS伺服器被惡意篡改。目前“.com/.net/.org/.info/.biz/.mobi/.asia/.me/.so/.cc/.tv/.name/.cn”等尾碼網域名稱支援開啟禁止更新鎖定。
開啟禁止更新鎖定的具體操作可參考開啟禁止更新鎖定。
DNSSEC
網域名稱系統安全擴充(DNS Security Extensions,簡稱DNSSEC)是用於確定源網域名稱可靠性的數位簽章 ,通過在網域名稱中添加DNSSEC記錄,可以增強對DNS網域名稱伺服器的身份認證,有效防止DNS緩衝汙染等攻擊。具體操作可參考配置DNSSEC。