本文列舉了DDoS高防(中國內地、非中國內地)服務相關的常見問題。
DDoS高防執行個體到期後會怎樣?
DDoS高防執行個體到期後無防禦能力,具體說明如下:
到期7天內轉寄規則配置正常生效,流量超限將觸發流量限速,可能導致隨機丟包。
到期7天后將停止業務流量轉寄。這種情況下,如果您的業務訪問地址仍解析到DDoS高防執行個體,則業務將無法被訪問到。
更多資訊,請參見DDoS高防(中國內地)計費說明。
DDoS高防業務頻寬說明
DDoS高防執行個體的業務頻寬指接入當前執行個體防護業務的正常業務流量,取入流量和出流量其中的較大值,單位:Mbps。
您可以在DDoS高防控制台的執行個體管理頁面對執行個體進行升級,增大當前執行個體的業務頻寬。具體操作,請參見升級執行個體。
超過DDoS高防業務頻寬會有什麼影響?
如果您的業務流量超過購買的DDoS高防執行個體的業務頻寬,將觸發流量限速,可能導致隨機丟包。
DDoS高防執行個體支援手動解除黑洞狀態嗎?
DDoS高防(中國內地)和DDoS高防(非中國內地)執行個體有區別,具體說明如下:
DDoS高防(中國內地)執行個體:支援。
每個阿里雲帳號每天共有五次手動解除黑洞狀態的機會,每天零點自動回復成五次。關於手動解除黑洞的具體操作,請參見解除黑洞。
DDoS高防(非中國內地)執行個體:暫不支援。
與DDoS高防(中國內地)執行個體存在固定的防護頻寬不同,DDoS高防(非中國內地)執行個體提供不設上限的進階防護,正常情況下不需要手動解除黑洞。
說明如果您目前使用DDoS高防(非中國內地)保險版執行個體,由於當月可用的進階防護次數已消耗完,導致業務被攻擊後進入黑洞狀態,建議您將保險版執行個體升級到無憂版執行個體(提供不限次數的進階防護)。DDoS高防(非中國內地)保險版執行個體升級到無憂版執行個體後,可以自動解除原保險版執行個體的黑洞狀態。
DDoS高防的回源IP地址有哪些?
您可以在DDoS高防控制台的網域名稱接入頁面查看DDoS高防的回源IP網段。更多資訊,請參見允許存取DDoS高防回源IP。
DDoS高防是否會自動將DDoS高防的回源IP地址加入白名單?
不會。如果您的來源站點部署了防火牆或第三方的主機安全防護軟體,您需要將DDoS高防的回源IP網段添加至相應的白名單中。更多資訊,請參見允許存取DDoS高防回源IP。
DDoS高防服務中的來源站點IP可以填寫內網IP嗎?
不可以。DDoS高防通過公網進行回源,不支援直接填寫內網IP。
修改DDoS高防服務的來源站點IP是否有延遲?
有延遲。修改DDoS高防服務已防護的來源站點IP後,需要大約五分鐘生效,建議您在業務低峰期進行變更操作。相關操作,請參見更換來源站點ECS公網IP。
DDoS高防是否支援健全狀態檢查?
支援。網站業務預設開啟健全狀態檢查。非網站業務預設不開啟健全狀態檢查,但可以通過DDoS高防控制台開啟,具體操作,請參見配置健全狀態檢查。
關於健全狀態檢查的更多資訊,請參見CLB健全狀態檢查工作原理。
DDoS高防配置多個來源站點時如何進行負載平衡?
網站業務通過源地址HASH方式進行負載平衡。非網站業務可通過加權輪詢的方式輪詢轉寄。
DDoS高防服務是否支援會話保持?
支援。非網站業務可以通過DDoS高防控制台開啟會話保持,具體操作,請參見配置會話保持。
DDoS高防服務的會話保持是如何?的?
開啟會話保持後,在會話保持的設定期間內,DDoS高防服務會把同一IP的請求持續發往來源站點中的一台伺服器。但是,如果用戶端的網路環境發生變化(例如,從有線切成無線、4G網路切成無線等),由於IP變化會導致會話保持失效。
DDoS高防的四層TCP預設連線逾時時間是多長?
900秒。
DDoS高防的HTTP或HTTPS預設連線逾時時間是多久?
120秒。
DDoS高防服務是否支援IPv6協議?
DDoS高防(中國內地)支援,DDoS高防(非中國內地)暫不支援。
DDoS高防(中國內地)執行個體支援IPv4高防IP和IPv6高防IP。IPv6高防IP支援轉寄來自IPv6用戶端的請求,對接入業務有以下限制:網域名稱接入只支援IPv4來源站點,連接埠接入支援IPv4或IPv6來源站點。
DDoS高防服務是否支援Websocket協議?
支援。更多資訊,請參見DDoS高防WebSocket配置。
DDoS高防服務是否支援HTTPS雙向認證?
網站接入方式不支援HTTPS雙向驗證。非網站接入且使用TCP轉寄方式時,支援HTTPS雙向驗證。
為什麼老版本瀏覽器和安卓用戶端無法正常訪問HTTPS網站?
可能是因為用戶端不支援SNI認證,請確認用戶端是否支援SNI認證。關於SNI認證可能引發的問題,請參見SNI可能引發的HTTPS訪問異常。
DDoS高防支援的SSL協議和加密套件有哪些?
支援的SSL協議包括:TLS 1.0、TLS 1.1、TLS 1.2、TLS 1.3。
支援的加密套件包括:
ECDHE-ECDSA-AES128-GCM-SHA256
ECDHE-ECDSA-AES256-GCM-SHA384
ECDHE-ECDSA-AES128-SHA256
ECDHE-ECDSA-AES256-SHA384
ECDHE-RSA-AES128-GCM-SHA256
ECDHE-RSA-AES256-GCM-SHA384
ECDHE-RSA-AES128-SHA256
ECDHE-RSA-AES256-SHA384
AES128-GCM-SHA256
AES256-GCM-SHA384
AES128-SHA256
AES256-SHA256
ECDHE-ECDSA-AES128-SHA
ECDHE-ECDSA-AES256-SHA
ECDHE-RSA-AES128-SHA
ECDHE-RSA-AES256-SHA
AES128-SHA
AES256-SHA
DES-CBC3-SHA
更多資訊,請參見自訂TLS安全性原則。
DDoS高防如何保證上傳認證及密鑰的安全性?是否會解密HTTPS流量並記錄訪問請求的內容?
阿里雲DDoS高防在防護HTTPS業務時,需要您上傳對應的SSL認證及密鑰,用於解密HTTPS流量並檢測流量中的攻擊特徵。我們使用了專用的認證伺服器(Key Server)來儲存和管理密鑰。Key Server依託於阿里雲密鑰管理系統KMS(Key Management Service),能夠保護認證和密鑰的資料安全性、完整性和可用性,符合監管和等保合規要求。關於KMS的詳細介紹,請參見什麼是Key Management Service。
DDoS高防使用您上傳的SSL認證及密鑰解密HTTPS業務流量,只用於即時檢測。我們只會記錄包含攻擊特徵(payload)的部分請求內容,用於攻擊報表展示、資料統計等,不會在您未授權的情況下,記錄全量的請求或響應內容。
阿里雲DDoS高防已通過ISO9001、ISO20000、ISO27001、ISO27017、ISO27018、ISO22301、ISO27701、ISO29151、BS10012、CSA STAR、等保三級、SOC1/2/3、C5、HK金融、菲律賓金融、OSPAR、ISO27001(印尼)、PCI DSS等多項國際權威認證,且作為標準的阿里雲雲產品,在雲平台層面具備與阿里雲同等水平的安全合規資質。詳細內容,請參見阿里雲信任中心。
使用DDoS高防防護HTTPS業務時,您也可以選擇雙認證方案,即在DDoS高防上使用一套認證及密鑰,在來源站點伺服器上使用另一套認證及密鑰(兩套認證及密鑰必須都是合法的),以便將上傳到DDoS高防的認證及密鑰與來源站點伺服器的認證及密鑰分開管理。
DDoS高防支援的防護連接埠數和防護網域名稱數有什麼限制?
關於防護連接埠數、網域名稱數的具體限制如下:
防護連接埠數:
一個DDoS高防(中國內地)執行個體預設支援50個連接埠,支援擴充至400個。
一個DDoS高防(非中國內地)執行個體預設支援5個連接埠,支援擴充至400個。
支援網域名稱數:
一個DDoS高防(中國內地)執行個體預設支援50個網域名稱配置,最大可擴充至200個。
一個DDoS高防(非中國內地)執行個體預設支援10個網域名稱配置,最大可擴充至200個。
伺服器的流量未達到清洗閾值,為何安全總覽中會出現清洗流量?
對於已接入DDoS高防服務的業務,DDoS高防將自動過濾網路流量中存在的一些畸形包(例如,SYN小包、SYN標誌位異常等不符合TCP協議的資料包),使您的商務服務器無需浪費資源處理這些明顯的畸形包。這類被過濾的畸形包也將被計入清洗流量中,因此即使您的伺服器流量未達清洗閾值,仍可能出現清洗流量。
DDoS高防服務是否支援接入採用NTLM協議認證的網站?
不支援。經DDoS高防轉寄的訪問請求可能無法通過來源站點伺服器的NTLM認證,用戶端將反覆出現認證提示。建議您使用DDoS原生防護,瞭解更多資訊,請參見什麼是DDoS原生防護。
阿里雲DDoS高防開放的連接埠是否對我的業務安全造成影響?
不會。DDoS高防(中國內地)和高防(非中國內地)開放的連接埠都不會對您的業務造成影響。
高防對外提供流量接入轉寄服務,防護叢集中會預定義一系列連接埠用於您的網站業務接入和防護服務。每個接入高防的網域名稱或連接埠的業務流量只通過接入配置時設定的來源站點服務連接埠進行轉寄。任何未接入高防的來源站點服務連接埠上的訪問請求是不會被轉寄到來源站點伺服器的,因此未配置接入高防的連接埠開啟不會對您的來源站點服務帶來任何安全風險和威脅。
DDoS高防是否支援屏蔽境外指定國家IP或所有境外IP的訪問?
支援。DDoS高防提供地區封鎖,對於境外IP支援您按國家設定封鎖。
如果您需要對DDoS高防執行個體防護的所有業務設定地區封鎖,請參見設定地區封鎖。如果您需要對指定網域名稱設定地區封鎖,請參見設定地區封鎖(針對網域名稱)。
CDN或DCDN能否和DDoS高防串聯?
不建議。
流量先到CDN或DCDN,再到DDoS高防
攻擊流量到CDN或DCDN後,CDN或DCDN被攻擊可能會進入沙箱,無法將流量轉寄給DDoS高防,DDoS高防的防護失去意義。
流量先到DDoS高防,再到CDN或DCDN
使用CDN或DCDN的目的是使用者可以實現訪問加速,流量先經過DDoS高防會導致時延增加,影響加速效果。
更多詳細資料,請參見DDoS高防和CDN或DCDN聯動。
網域名稱既使用了CDN或DCDN加速,又使用了DDoS高防,如何配置DNS解析?
您需要在加速產品(CDN或DCDN)和DDoS高防分別佈建網域名接入,然後在DDoS高防的流量調度器中配置聯動。網域名稱解析到DDoS高防流量調度器產生的CNAME地址。
僅DDoS高防執行個體的功能套餐為增強功能時,支援和加速產品(CDN或DCDN)聯動。
在業務正常訪問期間,流量不經過高防清洗就近使用CDN加速,減少業務延遲,保障業務分發高可用;僅在業務被攻擊時流量切換到DDoS高防進行清洗,保證業務平穩運行。更多詳細資料,請參見DDoS高防和CDN或DCDN聯動。