ご利用のサービスが大規模な DDoS 攻撃を受けていたり、その可能性がある場合は、業務継続性を確保するために Anti-DDoS Proxy インスタンスを購入することが重要です。Anti-DDoS Proxy はトラフィックをスクラビングセンターに迂回し、悪意のある DDoS 攻撃トラフィックをフィルターで除外したうえで、正当なトラフィックをオリジンサーバーに転送します。これにより、テラビットレベルの DDoS 攻撃から保護され、サービスの安定性を維持できます。
エディションの選択
エディション概要
プロダクトタイプ | インスタンスエディション | 主な機能と相違点 | 備考 |
Anti-DDoS Premium/Pro (中国本土) | Professional Plan | 専用 IP アドレス、マルチライン ボーダーゲートウェイプロトコル (BGP) 保護を提供し、基本保護およびバースト可能な保護の両方をサポートします。 | - |
Advanced Edition | 月に 2 回の 高度な保護 セッションを提供します(毎月リフレッシュ)。 | このエディションを有効化するには、アカウントマネージャーにお問い合わせください。 | |
Anti-DDoS Premium/Pro (中国本土以外) | Insurance および Unlimited |
| - |
Sec-CMA 2.0 | 中国本土のユーザー向けアクセス高速化およびアプリケーションレイヤー DDoS 保護を提供します。特定の DDoS 緩和セッション数を選択すると、中国電信、中国聯通、中国移動の各回線からの大規模 DDoS 攻撃に対する防御機能が有効になります。 | なし | |
Sec-CMA 2.0 (Insurance) および Sec-CMA 2.0 (Unlimited) | 機能は Sec-CMA 2.0 とほぼ同じです。Metering Method of 95th Percentile Burstable Clean Bandwidth および 95th Percentile Burstable QPS モードを無効化できます。 | この機能は Sec-CMA 2.0 に統合されています。新規インスタンスの購入は推奨されません。このオプションは既存のインスタンスのみ対象です。 | |
Mainland China Acceleration および Sec-CMA 1.0 | 中国移動回線をサポートしないレガシーバージョンです。 | 新規インスタンスの購入は推奨されません。Sec-CMA 2.0 へのアップグレードを推奨します。アップグレードを有効化するには、アカウントマネージャーにお問い合わせください。 |
適用シナリオと選定ガイド
Anti-DDoS Proxy インスタンスは、サーバーのデプロイ場所とユーザーの所在地に基づいて選択してください。以下のシナリオに最適なエディションをお選びください。
サーバーの場所 | ユーザーソース | ビジネス要件 | 推奨エディション |
中国本土 | 中国本土および中国本土以外 | 汎用的な DDoS 対策が必要。 | Anti-DDoS Premium/Pro (中国本土) - Professional Plan |
中国本土以外 | 中国本土以外のみ | クロスボーダー高速化は不要。 | Anti-DDoS Premium/Pro (中国本土以外) -Insurance または Unlimited |
中国本土以外 | 中国本土 | 低レイテンシと安定性を確保するため、クロスボーダー高速化が必要。 | Anti-DDoS Premium/Pro (中国本土以外)-Sec-CMA 2.0 |
中国本土以外 | 中国本土および中国本土以外 | サーバーを移行せずにクロスボーダー高速化を実現しつつ、中国本土以外からのアクセスもサポートする必要がある。 | 複合購入:
|
中国本土以外 | 中国本土および中国本土以外 | ユーザーの地域に応じてサーバーを移行し、クロスボーダーアクセスを実現できる。移行後、各地域のユーザーはそれぞれの地域でホストされたサービスにアクセスし、対応するエディションによって保護される。 |
|
Anti-DDoS Pro または Anti-DDoS Premium インスタンスの購入
購入ページを開く
、Anti-DDoS Proxy (中国本土) 国際購入ページ、、または Anti-DDoS Proxy (中国本土以外) 国際購入ページ を開きます。
保護インスタンスおよび保護パラメーターの選択
購入ガイドを参照し、プロダクトタイプ および 保護プラン を選択します。
Anti-DDoS Premium/Pro (中国本土)-Professional Plan
Professional 説明
接続タイプ:DNS によるトラフィック迂回。
リソース予約:専用 IP アドレス 1 個。
帯域幅タイプ:マルチライン BGP。
緩和機能:基本保護(サブスクリプション)+バースト可能な保護(従量課金)。
緩和パラメーター
Endpoint Type: Anti-DDoS Pro または Anti-DDoS Premium インスタンスがサポートする IP プロトコルタイプ。有効値:IPv4 または IPv6。詳細については、「機能紹介」をご参照ください。
重要IPv6 Anti-DDoS Proxy インスタンスは IPv6 クライアントからのリクエストを転送しますが、次の制限があります。
Web サイト設定では IPv4 オリジンサーバーのみサポートされます。
ポート設定では IPv4 または IPv6 オリジンサーバーがサポートされます。
Basic Protection:防御可能な DDoS 攻撃トラフィックのしきい値。
バースト可能な保護:攻撃トラフィックが Basic Protection を超過した場合に自動的にバースト可能な保護を有効化する従量課金機能で、ビジネスの中断を防ぎます。料金情報については、「バースト可能な保護帯域幅の課金方法」をご参照ください。
説明バースト可能な保護 と Basic Protection を同じ値に設定した場合、バースト可能な保護はトリガーされません。
リソース B:
Endpoint Type が IPv4 の場合にのみ、保護ノードを選択できます。選択肢は デフォルト、華北、華北 (北京)、または華東 1 (杭州) です。
ノードは、緩和機能とアクセスレイテンシの両方を考慮して選択してください。詳細については、「保護ノードの選択方法」をご参照ください。
説明例:オリジンサーバーが中国 (杭州) にある場合は、中国 (杭州) ノードを選択するとアクセスレイテンシが最小になります。最高の緩和機能が必要な場合は、デフォルトノードを選択してください。
Anti-DDoS Premium/Pro (中国本土以外)- 保険版と無制限版
緩和プランの説明:
警告Insurance または Unlimited を単独で使用すると、中国本土のユーザーはレイテンシが大幅に増加したり、アクセスに失敗したりする可能性があります。Sec-CMA 2.0 をこれらのプランと組み合わせて使用し、アクセス品質を最適化することを推奨します。
アクセスモード:DNS 解析によるトラフィックステアリング。
リソース予約:専用 Anycast IP アドレス 1 個。
緩和セッション:
Insurance:月に 2 回の高度な保護(毎月リフレッシュ)
Unlimited:高度な保護の回数無制限
緩和パラメーター
IP Registration Address:実際のビジネスニーズに基づいて IP 地理位置情報を選択します。サポートされている場所:シンガポール、中国 (香港)、日本、米国西部、米国東部、イギリス、ドイツ、マレーシア、インドネシア。
説明インドネシア保護ノードは、IP 地理位置情報がインドネシアの場合にのみ利用可能です。
マレーシアノードは、IP 地理位置情報がマレーシアの場合にのみ利用可能です。
Anti-DDoS Premium/Pro (中国本土以外)-Sec-CMA 2.0
緩和プランの説明:
接続タイプ:DNS によるトラフィック迂回。
リソース予約:専用 Sec-CMA IP アドレス 1 個。
緩和機能:中国本土からのアクセス高速化およびアプリケーションレイヤー DDoS 保護(インテリジェント保護、グローバル緩和ポリシー、ブラックリスト/ホワイトリスト、ジオブロッキング、HTTP フラッド対策を含む)を提供。
回線サポート:中国電信、中国聯通、中国移動の各回線。
緩和パラメーター
保護回数: 高度な緩和セッションの数。数量を購入すると、中国電信、中国聯通、中国移動の各回線で追加の大規模 DDoS 高度な保護機能を利用できます。いいえ を選択した場合、中国本土向けのアクセス高速化機能のみ提供されます。
説明DDoS 攻撃が発生してから 24 時間連続で保護が行われるごとに 1 セッションとカウントされます。クォータは毎暦月にリセットされます。
IP Registration Address: 実際のビジネス要件に基づいて IP 登録場所を選択します。サポートされている登録場所:シンガポール、日本。
Anti-DDoS Premium/Pro (中国本土以外)-Mainland China Acceleration
保護プランの説明
接続タイプ:DNS によるトラフィック迂回。
リソース予約:専用高速化 IP アドレス 1 個。
重要中国本土でのアクセス高速化専用であり、DDoS 緩和機能はありません。Sec-CMA 2.0 へのアップグレードを推奨します。
Anti-DDoS Premium/Pro (中国本土以外) - Sec-CMA1.0
緩和プランの説明:
接続タイプ:DNS によるトラフィック迂回。
リソース予約:専用 Sec-CMA IP アドレス 1 個。
緩和セッション:月に 2 回の高度な保護セッション(毎月リフレッシュ)。
説明グローバル拡張緩和セッションを購入 して、さらに多くのセッションを取得できます。
緩和機能:中国本土からのアクセス高速化および中国電信・中国聯通回線での DDoS 保護(中国移動は未サポート)。
説明中国本土以外からのアクセスに対する Anti-DDoS 保護をサポートするには、Insurance および Unlimited を使用できます。
回線サポート:中国電信および中国聯通回線のみ。
重要モバイル回線のサポートが必要な場合は、Sec-CMA 2.0 にアップグレードしてください。
拡張サービス仕様の構成
最大帯域幅:通常のサービストラフィックを収容するために保証されるベース帯域幅容量。
説明保証されたクリーン帯域幅が不十分な場合、システムはデフォルトでバースト可能クリーン帯域幅に対して課金します。このような従量課金を回避するには、保証されたクリーン帯域幅をスペックアップできます。詳細については、「インスタンスのスペックアップ」をご参照ください。
選択方法: 以下のガイドラインを参照してください。
選定原則
Alibaba Cloud ECS 上でサービスを実行している場合は、インスタンス監視情報 でピークトラフィックを確認します。
説明このトラフィックは正当なサービストラフィックを指し、攻撃トラフィックは含まれません。
複数のオリジンサーバーをデプロイしている場合は、正当なサービストラフィックを合算します。
選定例
3 つの Web サイトを保護しています。各 Web サイトのアウトバウンドトラフィックピークは 50 Mbps 未満です。合計トラフィックは 150 Mbps を超えません。150 Mbps より大きいクリーン帯域幅を選択してください。
Metering Method of 95th Percentile Burstable Clean Bandwidth:日次 95 パーセンタイルモード がデフォルトで有効になっており、従量課金の緩和機能を提供します。サービストラフィックがベースの 最大帯域幅 を超過した場合、インスタンスはデフォルトでバースト可能クリーン帯域幅を使用して、サービスが中断されないようにします。課金の詳細については、「バースト可能クリーン帯域幅の課金」をご参照ください。
警告2026 年 3 月 6 日 10:00:00 (UTC + 08:00) 以降、新規購入分については、バースト可能クリーン帯域幅の月次 95 パーセンタイル課金方式を利用できなくなります。また、コンソールでバースト可能クリーン帯域幅に関連する構成(機能の有効化/無効化、課金方式の変更、帯域幅仕様の変更など)を手動で調整できなくなります。詳細については、「[更新] 2026 年 3 月 6 日の Anti-DDoS バースト課金機能の調整について」をご参照ください。
計算式:弾性帯域幅ピーク = min(ベース サービス帯域幅 × 10, 弾性帯域幅上限)。
説明エラスティックピークは、デフォルトで割り当てられるエラスティックリソースの上限です。実際の使用量がエラスティックピークを超える場合、サービスはベストエフォート方式で提供され、使用したエラスティックリソースに対して従量課金方式で課金されます。ただし、速度制限のリスクがあります。バースト可能ピークを超えるリソース予約を確保するには、事前にクリーン QPS をスペックアップするか、アカウントマネージャーに連絡してキャパシティ拡張を依頼してください。
バースト可能帯域幅制限:
Anti-DDoS Premium/Pro (中国本土):Professional Plan (20,000 Mbps)、Advanced Edition (20,000 Mbps)
Anti-DDoS Premium/Pro (中国本土以外):Insurance(5,000 Mbps)、Unlimited (5,000 Mbps)、Sec-CMA 2.0 (1,500 Mbps)、Mainland China Acceleration (1,000 Mbps)、Sec-CMA 1.0 (500 Mbps)
QPS:攻撃が発生していない状態で Anti-DDoS Pro/Premium インスタンスが処理できる同時リクエストの最大レート。HTTP および HTTPS リクエストを含みます。クリーン QPS と接続仕様の関係については、「QPS 仕様および接続制限」をご参照ください。
説明クリーン QPS が不十分な場合、システムはバースト可能 QPS を使用し、それに応じて課金します。従量課金を回避するには、クリーン QPS をスペックアップすることもできます。詳細については、「インスタンスのスペックアップ」をご参照ください。
中国本土内:最大 QPS は 100,000 です。
中国本土以外のリージョン: 最大 QPS は 150,000 です。
95th Percentile Burstable QPS:デフォルトで 日次 95 パーセンタイルモード が有効になっており、従量課金の緩和機能を提供します。実際のクリーン秒間クエリ数 (QPS) が保証されたベースライン QPS を超過した場合、インスタンスは自動的にバースト可能な保護を使用して、サービスが中断されないようにします。詳細については、「バースト可能 QPS の課金説明」および「QPS 仕様および対応する接続制限」をご参照ください。
警告2026 年 3 月 6 日 10:00:00 UTC + 08:00 以降、新規のお客様はバースト可能 QPS の月次 95 パーセンタイル課金モードを有効化できなくなります。また、コンソールでバースト可能 QPS 設定(機能の有効化/無効化、課金モードの変更、仕様の変更など)を手動で調整できなくなります。詳細については、「[更新] 2026 年 3 月 6 日の Anti-DDoS バースト課金機能変更に関するお知らせ」をご参照ください。
計算式:バースト可能 QPS ピーク = min(Clean QPS × 3, バースト可能 QPS 制限)。
説明弾性ピークは、デフォルトで割り当てられる弾性リソースの上限です。実際の使用量が弾性ピークを超えた場合、ベストエフォートでサービスが提供され、使用した弾性リソースに対して従量課金されます。ただし、速度制限のリスクがあります。バーストピークを超えるリソースを確保するには、事前にクリーン QPS をスペックアップするか、アカウントマネージャーにご連絡のうえ、キャパシティを拡張してください。
バースト可能 QPS 制限:
中国本土内:
IPv4 Anti-DDoS Proxy インスタンス:最大バースト可能 QPS は 300,000。
IPv6 Anti-DDoS Proxy インスタンス:最大バースト可能 QPS は 100,000。
中国本土以外:最大バースト可能 QPS は 150,000。
Function Plan:機能プランは標準から拡張まであり、それぞれ異なる緩和機能、ポリシー構成数、パフォーマンス最適化レベルに対応しています。詳細については、「標準機能プランと拡張機能プランの違い」をご参照ください。
Standard:
HTTP フラッド対策ポリシールールを 40 件サポート。
レイヤー 7 のブラックリストおよびホワイトリストポリシーを最大 200 件サポート。
強化版:
HTTP/HTTPS 以外のアプリケーションレイヤー攻撃をブロックする強化されたアプリケーションレイヤー保護をサポート。
HTTP フラッド対策ポリシールールを 200 件サポート。
レイヤー 7 のブラックリストおよびホワイトリストポリシーを最大 2,000 件サポート。
静的ページキャッシュをサポートし、Web サイトアクセスを高速化。
Alibaba Cloud CDN との統合をサポートし、高速化と DDoS 保護を実現。
保護されたドメイン名の数:追加可能な HTTP/HTTPS ドメイン名の数。最大値は 2,000 です。
ドメイン転送を構成するすべてのドメイン名について、関連付けられた ファーストレベルドメイン (サイト) の数は (保護されたドメイン名の数/10) を超えてはなりません。
ドメイン転送を構成する際、ドメイン名の総数(ルートドメイン名、サブドメイン、ワイルドカードドメイン名を含む)は 保護されたドメイン名の数 を超えてはなりません。
説明購入した 保護されたドメイン名の数 が 50 であると仮定します。www.abc.com、*.abc.com、www.xyz.com の 3 つのドメイン名を構成しました。
ルートドメイン (サイト):2 (abc.com および xyz.com)。これは 5 (50/10) の制限を満たしています。
ドメイン名の総数:3。これは 50 の制限を満たしています。
ポート:TCP および UDP プロトコルで保護をサポートするポート数。
リソースグループ:Resource Management サービス内のインスタンスが属するリソースグループ。デフォルトは デフォルトリソースグループ です。リソースグループの詳細については、「リソースグループの作成」をご参照ください。
数量:購入するインスタンスの数を選択します。
期間:サブスクリプション期間。自動更新 を選択すると、有効期限前にインスタンスが自動的に更新されます。自動更新サイクルは次のルールに従います。詳細については、「インスタンスの更新」をご参照ください。
月単位購入:1 ヶ月の自動更新サイクル。
年単位購入:1 年の自動更新サイクル。
インスタンス仕様の確認と保護の有効化
仕様の確認
Anti-DDoS Pro コンソールの インスタンス管理 ページに移動し、購入したインスタンス ID または右側の 管理 ボタンをクリックすると、製品ページでベースライン/弾性保護機能、クリーン帯域幅、QPS などすべての仕様を確認できます。
保護の有効化
購入後、保護は自動的には有効になりません。以下の手順を完了して、サービストラフィックを Anti-DDoS Proxy インスタンスに迂回してください。
コンソールにログイン
Anti-DDoS Pro コンソール または に移動します。
サービスの追加:
接続管理 で、ドメイン接続 または ポート接続 などのサービスタイプに基づいてサービスプロビジョニングを完了します。具体的な手順については、「Web サイト構成の追加」(Web サイトサービス)または「ポート転送ルールの構成」(ゲームやアプリなどの Web サイト以外のサービス)をご参照ください。
トラフィックの切り替え:
サービスの DNS レコードを、Anti-DDoS Proxy が割り当てた CNAME アドレスまたは IP アドレスに変更します。手順については、「CNAME または IP アドレスを使用して Web サイトトラフィックを Anti-DDoS Proxy インスタンスに誘導する方法」および「CNAME レコードを使用して Web サイト以外のサービスを追加する方法」をご参照ください。
クォータと制限事項
ICP 登録:中国本土にデプロイされた Web サイトは、ドメイン名の ICP 登録が必要です。
IPv6 オリジンサーバーの制限:IPv6 Anti-DDoS Proxy インスタンスを購入し、ドメインベースの Web サイトサービスを使用する場合、トラフィックは IPv4 オリジンサーバーにのみ転送されます。
海外アクセスの制限:
Anti-DDoS Premium/Pro (中国本土以外)- Insurance または Unlimited エディションを単独で使用すると、中国本土のユーザーはレイテンシが大幅に増加したり、サービスにアクセスできなくなったりする可能性があります。
説明中国本土のユーザーがスムーズにアクセスできるようにするには、Anti-DDoS Premium/Pro (中国本土以外)–Sec-CMA 2.0 を併せて購入することを推奨します。
Anti-DDoS Premium/Pro (中国本土以外)–Sec-CMA 2.0 を単独で使用する場合、中国本土以外の地域からのアクセスはデフォルトでサポートされません。
説明中国国外のクライアントからサービスにアクセスされる場合は、Anti-DDoS Premium/Pro (中国本土以外)–Insurance または Unlimited も購入して使用することを推奨します。
一部の保護ノード(インドネシアやマレーシアなど)は、IP 地理位置情報が一致するインスタンスでのみ利用可能です。
課金
Anti-DDoS Proxy の料金は、サブスクリプションの インスタンス料金 と従量課金の バースト料金 で構成されます。
インスタンス料金 (サブスクリプション):選択した仕様(基本保護帯域幅、クリーン帯域幅、秒間クエリ数 (QPS) など)に基づいて、月単位または年単位で支払います。詳細については、「Anti-DDoS Proxy (中国本土以外) の Insurance および Unlimited 緩和プランの課金」、「Anti-DDoS Proxy (中国本土以外) の CMA 課金」、および「Anti-DDoS Proxy (中国本土以外) の Sec-CMA 課金」をご参照ください。
バースト可能保護料金 (従量課金):DDoS 攻撃トラフィックが基本保護帯域幅を超えた場合にのみ課金されます。料金は、ピーク攻撃トラフィックに基づいて日単位で計算されます。詳細については、「バースト可能保護帯域幅の測定方法」をご参照ください。
バースト可能クリーン帯域幅/QPS 料金 (従量課金):通常のサービストラフィックまたは QPS が基本仕様を超えた場合にのみ課金されます。料金は、日次または月次 95 パーセンタイル帯域幅に基づいて計算されます。詳細については、「バースト可能クリーン帯域幅の課金」および「バースト可能 QPS の課金」をご参照ください。
グローバル拡張緩和セッション: 必要に応じて、特定のインスタンス向けに グローバル拡張緩和セッション を購入できます。詳細については、「グローバル拡張緩和セッションの課金」をご参照ください。
サービスのキャンセル
購入後の返金はサポートされません。購入前にサービス要件を十分に評価してください。
付録
QPS 仕様および対応する接続制限
Anti-DDoS Proxy インスタンスの QPS 仕様には、特定の接続制限が対応しています。バースト可能 QPS を有効化する場合は、バースト可能 QPS 値に対応する接続制限を参照してください。
QPS | 新規接続 | 同時接続 |
0 < QPS ≤ 5,000 | 5,000 | 100,000 |
5,000 < QPS ≤ 10,000 | 10,000 | 200,000 |
10,000 < QPS ≤ 30,000 | 30,000 | 500,000 |
30,000 < QPS ≤ 50,000 | 50,000 | 1,000,000 |
50,000 < QPS ≤ 100,000 | 80,000 | 1,500,000 |
100,000 < QPS ≤ 150,000 | 100,000 | 2,000,000 |
150,000 < QPS ≤ 200,000 説明 Anti-DDoS Proxy (中国本土) のみでサポートされます。 | 150,000 | 3,000,000 |
200,000 < QPS ≤ 300,000 説明 Anti-DDoS Proxy (中国本土) のみでサポートされます。 | 200,000 | 4,000,000 |
保護ノードの詳細
保護ノードは、緩和機能とアクセスレイテンシに基づいて選択してください。/ は、そのオリジンサーバーの場所ではノードの使用が推奨されないことを示します。
オリジンサーバーの場所 | 保護ノード | |||
デフォルト | 華北 | 華北 (北京) | 華東 1 (杭州) | |
中国 (北京) | 強力な保護 (1 Tbps 以上)。 | / | 低レイテンシで最大 600 Gbps の緩和機能を提供。 | / |
中国 (上海) | / | 強力な保護 (1 Tbps 以上)。 | / | 低レイテンシで最大 600 Gbps の緩和機能を提供。 |
中国 (成都) | / | 強力な保護 (1 Tbps 以上)。 | 低レイテンシで 600 Gbps の緩和機能を提供。 | / |
中国 (広州) | 強力な保護 (1 Tbps 以上)。 | / | / | 低レイテンシで 600 Gbps の緩和機能を提供。 |
中国 (杭州) | 強力な保護 (1 Tbps 以上)。 | / | / | 低レイテンシで 600 Gbps の緩和機能を提供。 |
中国 (深セン) | 強力な保護 (1 Tbps 以上)。 | / | / | 最大 600 Gbps の緩和機能を備えた低レイテンシ保護を提供。 |
よくある質問
ルートドメイン (サイト) とは何ですか?
ルートドメインとは、ユーザーが登録する完全なドメイン名です。例:
aliyun.com はルートドメインです。
サブドメイン (www.aliyun.com や abc.aliyun.com など) やワイルドカードドメイン名 (*.aliyun.com など) はルートドメインではありません。これらはすべて同じルートドメイン (サイト) aliyun.com に属します。
Anti-DDoS Proxy と Anti-DDoS Origin の違いは何ですか?どちらを選べばよいですか?
主な違いは接続タイプと保護範囲です。
Anti-DDoS Proxy:プロキシ型トラフィックスクラブ。トラフィックを迂回することでサービスを保護します。Alibaba Cloud 上および Alibaba Cloud 外(データセンターや他のクラウドなど)のサーバーをサポートします。ネットワーク層およびアプリケーションレイヤー (CC) 攻撃を緩和します。高い緩和機能とサービス可用性が求められるユースケースに適しています。
Anti-DDoS Origin:強化モデル。ECS や SLB などの Alibaba Cloud アセットのデフォルト緩和しきい値を直接引き上げます。DNS の変更が不要で、シンプルなセットアップが可能です。主にネットワーク層攻撃を対象とします。
選定ガイド:
サービスが Web サイトである、CC 攻撃防御が必要である、Alibaba Cloud 外で実行されている、または高い緩和機能が必要な場合は、Anti-DDoS Proxy を選択してください。
サービスが Alibaba Cloud 上の Web サイト以外のサービスであり、シンプルなセットアップを希望する場合は、Anti-DDoS Origin を選択してください。