阿里云全站加速为您提供DDoS防护功能,帮助您的加速域名更好地防御DDoS攻击。本文为您介绍在控制台如何开启DDoS防护功能的具体操作。

功能介绍

DDoS攻击指分布式拒绝服务攻击,攻击者使用多个被破坏或受控的来源生成大量数据包或请求,最终使攻击的目标(源站)无法正常使用。阿里云提供DDoS防护服务,帮助您降低潜在DDoS攻击风险,减少业务损失并确保业务稳定可用。

如果您需要防御DDoS攻击时,可以开通DDoS防护功能。当系统检测到DDoS攻击时,会进行自动化调度,将流量从全站加速切换至DDoS防护;攻击结束后,阿里云DDoS防护系统自动将流量切换回全站加速进行正常业务分发。

使用场景包括但不限于以下:
  • 金融行业

    保障业务分发高可用,提升跨国访问体验,同时关注信息、交易、数据资产的安全防护,避免网络攻击给企业造成重大风险。

  • 零售行业

    保障企业官网,电商平台,订票平台,内部办公协同软件的网络分发质量,同时防护网络安全攻击,保证业务的持续可用性。

  • 传媒行业

    保障公共媒体内容高效传播,同时通过网络安全防护保障,避免业务突增和网络攻击对业务稳定性的影响。

优势和使用限制

全站加速DDoS有如下优势和限制:
  • 防御节点总带宽超过1 Tbps,富裕的带宽为客户提供全球范围的防护服务。
  • 同一个域名在DDoS高防实例中设置或者在全站加速DDoS防护中设置,只能二选一,不能同时配置。
  • 支持云盾付费证书和自定义证书, HTTPS免费证书暂不支持DDoS防护功能的开启。
  • 暂不支持IPv6网络服务。
  • 目前仅支持业务常量在10 G以下的客户使用,超过10 G带宽用户需要在开通时或者后续通过提交工单报备,如果不报备可能会造成业务受损。
  • 根据以下逻辑自行判断后自行决定是否启动DDoS攻击防护:
    • 自动判断您是否受到DDoS攻击。
    • 按照您设置的QPS阈值判断是否受到DDoS防护,默认值为20000 QPS。配置范围为[2000,50000]QPS。
    • 通过健康检查的路径才会切换到DDoS防护。
  • 根据以下逻辑自行判断后决定何时恢复全站加速服务:
    • 出现四层DDoS攻击,攻击停止后3天恢复。
    • 出现七层CC攻击,攻击停止后1天恢复。
    • 如有特殊需求,可通过提交工单申请恢复。

申请开通DDoS防护

  1. 登录全站加速控制台
  2. 在左侧导航栏,单击DDoS防护 > 配置管理
  3. 单击申请开通,您可以加入钉钉群(32615821)进行咨询和开通该功能。

配置防护规则

您可以根据业务需要,单独对每个域名设置不同的QPS阈值,实现不同的DDoS防护触发时机。

  1. 登录全站加速控制台
  2. 在左侧导航栏,单击DDoS防护 > 配置管理
  3. 配置管理页面,单击未开通防护页签,选择您需要开通的域名,单击点击开通
  4. 设置QPS阈值健康检查路径QPS阈值
    说明 超过QPS阈值且健康的路径才会切换到DDoS高防防护。
    参数 说明 默认值
    QPS阈值 超过阈值切换到DDoS高防防护。 20000
    健康检查路径 域名下需要健康检查的路径。
    • 健康:切换到DDoS高防防护。
    • 不健康:不会切换到DDoS高防防护。
    说明
    • 目前仅支持单个路径检查。
    • 目前仅支持英文路径。
    /(代表域名默认根目录)
    说明 例如:/*/examplefile.txt
  5. 单击确定即可开通。

修改或关闭DDoS防护

  1. 登录全站加速控制台
  2. 在左侧导航栏,单击DDoS防护 > 配置管理
  3. 配置管理页签,单击已开通防护页签。
  4. 已开通防护页签,你可以修改QPS阈值或者关闭DDoS防护。
  5. 单击确认完成修改或者关闭DDoS防护。