このトピックでは、Anti-DDoS Proxy (Chinese Mainland) およびAnti-DDoS Proxy (Outside Chinese Mainland) に関するよくある質問に対する回答を提供します。
Anti-DDoS Proxyインスタンスの有効期限が切れるとどうなりますか。
期限切れのインスタンスはサービスを保護できなくなりました。
インスタンスの有効期限が切れた後、インスタンスはトラフィックを7日間転送し続けます。 トラフィック量がインスタンスのクリーン帯域幅を超えると、スロットリングがトリガーされ、ランダムなパケット損失が発生する可能性があります。
インスタンスの有効期限が7日後、インスタンスはトラフィックの転送を停止します。 サービスのIPアドレスがインスタンスにマッピングされている場合、サービスにアクセスできなくなります。
詳細については、「Anti-DDoSプロキシ (中国本土) の課金」をご参照ください。
Anti-DDoS Proxyインスタンスのクリーンな帯域幅とは
インスタンスのクリーン帯域幅は、保護されたサービスのピークのインバウンドまたはアウトバウンドトラフィックのいずれか大きい方に等しくなります。 単位:Mbit/秒。
Anti-DDoS Proxy (Chinese Mainland) コンソールの [インスタンス] ページで、インスタンスのクリーン帯域幅を増やすことができます。 詳細については、「インスタンスのアップグレード」をご参照ください。
トラフィック量がAnti-DDoS Proxyインスタンスのクリーン帯域幅を超えるとどうなりますか?
トラフィック量がインスタンスのクリーン帯域幅を超えると、スロットリングがトリガーされ、ランダムなパケット損失が発生する可能性があります。
ブラックホールのフィルタリングを手動で無効にできますか?
この質問に対する答えは、使用するインスタンスによって異なります。
Anti-DDoS Proxy (中国本土) インスタンスを使用している場合、ブラックホールフィルタリングを手動で無効にできます。
各Alibaba Cloudアカウントは、ブラックホールフィルタリングを1日5回まで無効にできます。 制限は翌日の00:00にリセットされます。 詳細については、「ブラックホールフィルタリングの無効化」をご参照ください。
Anti-DDoSプロキシ (中国本土以外) を使用する場合、ブラックホールフィルタリングを手動で無効にすることはできません。
保護帯域幅が固定されているAnti-DDoS Proxy (Chinese Mainland) インスタンスとは異なり、Anti-DDoS Proxy (Outside Chinese Mainland) インスタンスは、使用可能なすべての機能でDDoS攻撃を軽減します。 Anti-DDoS Proxy (Outside Chinese Mainland) インスタンスのブラックホールフィルタリングを手動で無効にする必要はありません。
説明Insurance軽減プランのAnti-DDoS Proxy (Outside Chinese Mainland) インスタンスを使用していて、今月の高度な軽減セッションのクォータが使い果たされた場合、サービスが攻撃された後にブラックホールフィルタリングがトリガーされます。 この場合、無制限の保護機能を提供する無制限の軽減プランにインスタンスをアップグレードすることを推奨します。 インスタンスを無制限の軽減プランにアップグレードすると、ブラックホールフィルタリングは自動的に無効になります。
Anti-DDoS Proxyインスタンスのback-to-origin CIDRブロックとは何ですか。
back-to-origin CIDRブロックは、Anti-DDoS Proxyコンソールの [Webサイトの設定] ページで表示できます。 詳細については、「back-to-origin IPアドレスによるオリジンサーバーへのアクセスの許可」をご参照ください。
Anti-DDoS Proxyインスタンスのback-to-origin CIDRブロックは自動的にホワイトリストに追加されますか。
いいえ、back-to-origin IPアドレスはホワイトリストに自動的に追加されません。 配信元サーバーにファイアウォールまたはサードパーティのセキュリティソフトウェアを展開する場合は、Anti-DDoS Proxyインスタンスのback-to-origin IPアドレスをファイアウォールまたはセキュリティソフトウェアのホワイトリストに追加する必要があります。 詳細については、「back-to-origin IPアドレスによるオリジンサーバーへのアクセスの許可」をご参照ください。
Anti-DDoS ProxyインスタンスのオリジンサーバーのIPアドレスとして内部IPアドレスを使用できますか。
いいえ、オリジンサーバーのIPアドレスとして内部IPアドレスを使用することはできません。 内部IPアドレスをオリジンサーバーのIPアドレスとして使用することはできません。 これは、Anti-DDoS Proxyがインターネット経由でのみオリジンサーバーにトラフィックを転送するためです。
Anti-DDoS Proxyインスタンスの配信元サーバーのIPアドレスを変更しました。 変更はすぐに有効になりますか?
いいえ、変更は約5分後に有効になります。 そのため、ピーク時間外に操作を実行することを推奨します。 詳細については、「ECSオリジンサーバーのパブリックIPアドレスの変更」をご参照ください。
Anti-DDoS Proxyはヘルスチェック機能をサポートしていますか?
はい、Anti-DDoSプロキシはヘルスチェック機能をサポートしています。 ヘルスチェック機能は、デフォルトでWebサイトサービスに対して有効になっています。 Anti-DDoS Proxyコンソールで、Webサイト以外のサービスのヘルスチェック機能を有効にできます。 詳細については、「ヘルスチェックの設定」をご参照ください。
ヘルスチェック機能の詳細については、「ヘルスチェックの概要」をご参照ください。
Anti-DDoS Proxyインスタンスによって保護されている複数のオリジンサーバーにトラフィックがどのように分散されますか。
Webサイトサービス向けのトラフィックは、IPハッシュポリシーを使用して配信元サーバーに配信されます。 Webサイト以外のサービスを宛先とするトラフィックは、重み付きラウンドロビンポリシーを使用して配信元サーバーに配信されます。
Anti-DDoS Proxyコンソールでセッションの永続性を設定できますか。
はい。Anti-DDoS Proxyコンソールで、Webサイト以外のサービスのセッション永続性を設定できます。 詳しくは「セッション維持の設定」 をご参照ください。
Anti-DDoS Proxyインスタンスのセッション永続化はどのように機能しますか?
インスタンスのセッション維持を設定した後、インスタンスは特定の期間内に同じIPアドレスからのリクエストを同じ配信元サーバーに転送します。 クライアントのネットワークが有線ネットワークまたは4Gネットワークから無線ネットワークに変更された場合、クライアントのIPアドレスが変更されるため、セッションの永続化が失敗します。
Anti-DDoS ProxyインスタンスのデフォルトのTCPタイムアウト期間はどれくらいですか。
デフォルトのタイムアウト時間は900秒です。
Anti-DDoS ProxyインスタンスのデフォルトのHTTPおよびHTTPSタイムアウト期間はどれくらいですか。
デフォルトのタイムアウト時間は120秒です。
Anti-DDoSプロキシはIPv6をサポートしていますか?
この質問に対する答えは、使用するインスタンスによって異なります。 Anti-DDoS Proxy (中国本土) インスタンスを使用する場合、IPv6がサポートされます。 Anti-DDoS Proxy (Outside Chinese Mainland) インスタンスを使用する場合、IPv6はサポートされません。
Anti-DDoS Proxy (中国本土) インスタンスは、IPv4アドレスとIPv6アドレスを使用してアクセス要求を転送できます。 インスタンスを使用してIPv6アドレスを使用するクライアントからのアクセス要求を転送する場合、サポートされる宛先は、サービスをAnti-DDoS Proxyに追加するために使用される方法によって異なります。 ドメインを使用してサービスを追加する場合、アクセス要求はIPv4アドレスを使用するオリジンサーバーにのみ転送されます。 ポートを使用してサービスを追加すると、IPv4アドレスまたはIPv6アドレスを使用するオリジンサーバーにアクセス要求を転送できます。
Anti-DDoSプロキシはWebSocketをサポートしていますか?
はい、Anti-DDoSプロキシはWebSocketをサポートしています。 詳細については、「」をご参照ください。WebSocketを有効にするには?.
Anti-DDoS Proxyは相互HTTPS認証をサポートしていますか?
Anti-DDoS Proxyに追加されたWebサイトサービスは、相互HTTPS認証をサポートしていません。 Anti-DDoS Proxyに追加され、TCPポート転送を使用するWebサイト以外のサービスは、相互HTTPS認証をサポートします。
以前のバージョンのブラウザまたはAndroidモバイルクライアントからHTTPS Webサイトにアクセスできないのはなぜですか?
ブラウザまたはクライアントがサーバー名表示 (SNI) をサポートしていない可能性があるため、HTTPS Webサイトにアクセスできません。 ブラウザまたはクライアントがSNIをサポートしていることを確認します。 詳細については、「」をご参照ください。クライアントがSNIをサポートしていない場合に発生するHTTPSアクセス例外を処理するにはどうすればよいですか。
Anti-DDoSプロキシでサポートされているSSLプロトコルと暗号スイート
次のSSLプロトコルがサポートされています: TLS 1.0、TLS 1.1、TLS 1.2、およびTLS 1.3。
次の暗号スイートがサポートされています。
ECDHE-ECDSA-AES128-GCM-SHA256
ECDHE-ECDSA-AES256-GCM-SHA384
ECDHE-ECDSA-AES128-SHA256
ECDHE-ECDSA-AES256-SHA384
ECDHE-RSA-AES128-GCM-SHA256
ECDHE-RSA-AES256-GCM-SHA384
ECDHE-RSA-AES128-SHA256
ECDHE-RSA-AES256-SHA384
AES128-GCM-SHA256
AES256-GCM-SHA384
AES128-SHA256
AES256-SHA256
ECDHE-ECDSA-AES128-SHA
ECDHE-ECDSA-AES256-SHA
ECDHE-RSA-AES128-SHA
ECDHE-RSA-AES256-SHA
AES128-SHA
AES256-SHA
DES-CBC3-SHA
詳細については、「TLSセキュリティポリシーのカスタマイズ」をご参照ください。
Anti-DDoS Proxyは、アップロードされた証明書とその秘密鍵のセキュリティをどのように保証しますか? Anti-DDoS ProxyはHTTPSトラフィックを復号化し、HTTPSリクエストのコンテンツを記録しますか。
Anti-DDoS Proxyを使用してHTTPSサービスを保護する場合は、必要なHTTPS証明書とその秘密鍵をアップロードする必要があります。 このようにして、Anti-DDoS ProxyはHTTPSトラフィックを復号して攻撃を検出し、攻撃の特性を分析できます。 Alibaba Cloudは、専用のキーサーバーを使用して秘密鍵を保存および管理します。 キーサーバーはAlibaba Cloud key Management Service (KMS) に基づいており、証明書と秘密鍵の両方のデータセキュリティ、整合性、可用性を確保できます。 これは、規制、機密保護、およびコンプライアンスの要件を満たすのに役立ちます。 KMSの詳細については、「」をご参照ください。キー管理サービスとは
Anti-DDoS Proxyは、アップロードされた証明書とその秘密鍵を使用して、リアルタイムで攻撃を検出した場合にのみHTTPSトラフィックを復号します。 Anti-DDoS Proxyは、リクエストペイロードの特定のコンテンツのみを記録します。 コンテンツは、攻撃特性に基づいて決定される。 次に、Anti-DDoS Proxyは、コンテンツに基づいて攻撃レポートとデータ統計を提供できます。 Anti-DDoS Proxyは、承認された場合にのみ、要求または応答の全コンテンツを記録できます。
Anti-DDoS Proxyは、ISO 9001、ISO 20000、ISO 27001、ISO 27017、ISO 27018、ISO 22301、ISO 27701、ISO 29151、BS 10012、CSA STAR、MLPSレベル3、サービス組織管理 (SOC) 1、SOC 2、SOC 3、クラウドコンピューティングクライテリアカタログ (C5) 、アウトソーシングサービスプロバイダー監査レポート (OSPAR) 、ISO 27001 (インドネシア) 、およびペイメントカード業界データセキュリティ標準 (PCI DSS) 。 この基準には、香港 (中国) とフィリピンの金融セクター全体でのAnti-DDoS Proxyの有効性を証明する基準も含まれています。 さらに、Anti-DDoS Proxyは、Alibaba Cloudと同じセキュリティおよびコンプライアンス資格を提供します。 詳細については、Alibaba Cloudトラストセンターをご参照ください。
Anti-DDoS Proxyを使用してHTTPSサービスを保護する場合は、デュアル証明書方式を使用できます。 この方法では、Anti-DDoS Proxyインスタンスとオリジンサーバーの両方で、証明書と秘密鍵のセットを個別に使用できます。 証明書と秘密鍵の2つのセットは有効でなければなりません。 このように、鍵サーバは、証明書及び秘密鍵を別々に管理することができる。
Anti-DDoS Proxyインスタンスで保護できるポート数とドメイン名の制限は何ですか。
保護できるポートの最大数を次に示します。
Anti-DDoS Proxy (中国本土) インスタンスは、デフォルトで50ポートを保護します。 インスタンスをアップグレードして、最大400個のポートを保護できます。
Anti-DDoS Proxy (Outside Chinese Mainland) インスタンスは、デフォルトで5つのポートを保護します。 インスタンスをアップグレードして、最大400個のポートを保護できます。
保護できるドメイン名の最大数を次に示します。
Anti-DDoS Proxy (中国本土) インスタンスは、デフォルトで50個のドメイン名を保護します。 インスタンスをアップグレードして、最大200のドメイン名を保護できます。
Anti-DDoS Proxy (Outside Chinese Mainland) インスタンスは、デフォルトで10個のドメイン名を保護します。 インスタンスをアップグレードして、最大200のドメイン名を保護できます。
サーバーが受信したトラフィック量がトラフィックスクラビングしきい値を超えていないにもかかわらず、トラフィックチャートにトラフィックスクラビングイベントが表示されるのはなぜですか。
Anti-DDoS Proxyインスタンスは、不正なパケットを自動的に除外します。 パケットは、小さなSYNパケットと、無効なSYNフラグなどの特定の理由によりTCP要件を満たさないパケットとを含む。 この場合、サーバーはこれらの不正なパケットを管理するためのリソースを割り当てません。 これらの不正なパケットは、スクラブされたトラフィック統計でカウントされます。 したがって、トラフィックチャートは、サーバによって受信されたトラフィックの量がトラフィックスクラビング閾値を超えない場合であっても、トラフィックスクラビングイベントを示すことができる。
Anti-DDoS Proxyは、NTLM認証を使用するWebサイトを保護できますか?
いいえ、Anti-DDoSプロキシは、New Technology LAN Manager (NTLM) 認証を使用するWebサイトを保護できません。 Anti-DDoS Proxyインスタンスによって転送されたWebサイトリクエストは、オリジンサーバーのNTLM認証に合格できません。 この場合、クライアントは繰り返し認証要求を受信する。 Anti-DDoS Originの使用を推奨します。 詳細については、「」をご参照ください。Anti-DDoSオリジンとは
Anti-DDoS Proxyで有効になっているポートは、サービスのセキュリティに影響しますか。
いいえ、Anti-DDoSプロキシで有効になっているポートは、サービスのセキュリティに影響しません。
Anti-DDoS Proxyは、トラフィックへのアクセスと転送を提供します。 ポートは保護クラスターで事前定義されています。 WebサイトをAnti-DDoS Proxyインスタンスに追加した後、事前定義されたポートを使用してサービスを保護できます。 インスタンスに追加された各ドメイン名またはポートを宛先とするトラフィックは、指定されたポートを使用してのみオリジンサーバーに転送されます。 ドメイン名またはポートをインスタンスに追加するときに、ポートを指定できます。 Anti-DDoS Proxyインスタンスで指定されたポートを介したアクセス要求のみがオリジンサーバーに転送されます。 Anti-DDoS Proxyインスタンスで指定されていないポートを有効にした場合、オリジンサーバーにセキュリティリスクや脅威は発生しません。
Anti-DDoS Proxyは、特定の国のIPアドレスまたは中国以外のすべてのIPアドレスからのアクセスをブロックできますか?
はい、Anti-DDoS Proxyは、特定の国のIPアドレスまたは中国以外のすべてのIPアドレスからのアクセスをブロックできます。 Anti-DDoS Proxyは、ロケーションブラックリスト機能をサポートしています。 この機能を使用して、中国以外のIPアドレスからのアクセスを国ごとにブロックできます。
Anti-DDoS Proxyインスタンスによって保護されているすべてのサービスの場所ブラックリストを設定する方法の詳細については、「場所ブラックリスト機能の設定」をご参照ください。 特定のドメイン名の場所ブラックリストを設定する方法の詳細については、「場所ブラックリスト (ドメイン名) 機能の設定」をご参照ください。
CDNまたはDCDNをAnti-DDoSプロキシと一緒にデプロイできますか。
Alibaba Cloud CDN (CDN) またはDynamic Content Delivery Network (DCDN) をAnti-DDoSプロキシとともにデプロイしないことを推奨します。
Webサイト宛てのトラフィックは、まずCDNまたはDCDNに転送され、次にAnti-DDoS Proxyに転送されます。
トラフィックがCDNまたはDCDNに転送されると、Webサイトのドメイン名がサンドボックスに追加され、CDNまたはDCDNはトラフィックをAnti-DDoSプロキシに転送できなくなります。 この場合、Anti-DDoS ProxyはWebサイトをDDoS攻撃から保護できません。
Webサイト宛てのトラフィックは、まずAnti-DDoS Proxyに転送され、次にCDNまたはDCDNに転送されます。
トラフィックが最初にAnti-DDoSプロキシに転送された場合、CDNまたはDCDNによって提供されるアクセスアクセラレーションが影響を受けます。
詳細については、「CDNまたはDCDNインタラクション機能の使用」をご参照ください。
CDNまたはDCDNインタラクション機能を使用する場合、ドメイン名のDNS設定を構成するにはどうすればよいですか。
CDNまたはDCDNおよびAnti-DDoSプロキシにドメイン名を追加する必要があります。 次に、Anti-DDoS ProxyのSec-Traffic Managerで対話ルールを設定して、Sec-Traffic Managerによって生成されたCNAMEにドメイン名を解決する必要があります。
CDNまたはDCDNインタラクション機能は、拡張機能プランを使用するAnti-DDoSプロキシインスタンスでのみ使用できます。
通常のサービスアクセス中、トラフィックはAnti-DDoS Proxyによってスクラブされず、アクセスを高速化するためにCDNに直接転送されます。 これにより、サービスの待ち時間が短縮され、サービス配信の可用性が確保されます。 トラフィックは、サービスの安定性を確保するために、サービスが攻撃を受けている場合にのみ、Anti-DDoS Proxyによってスクラブされます。 詳細については、「CDNまたはDCDNインタラクション機能の使用」をご参照ください。