使用CDN或DCDN後如何進行DDoS防護 - Anti-DDoS

當網站既需要訪問加速，又需要進行DDoS防護時，可以使用DDoS高防和加速產品（CDN或DCDN）聯動。通過流量調度器的智能調度，業務正常訪問期間，流量不經過DDoS高防清洗就近使用加速產品的節點加速，僅在業務被攻擊時流量切換到DDoS高防進行清洗，由高防將清潔流量直接轉寄給來源站點，保證業務平穩運行。本文介紹如何配置DDoS高防和加速產品（CDN或DCDN）聯動。

功能介紹

業務既需要訪問加速又需要DDoS防護時，阿里雲支援如下兩種方案：

方案一：DCDN的邊緣DDoS防護（推薦）
網域名稱接入DCDN後，在DCDN側直接配置邊緣DDoS防護，無需繁瑣配置即可一鍵開啟DDoS防護。無需在DDoS高防側配置。具體操作，請參見防護配置。
說明
僅DCDN支援邊緣DDoS防護，CDN不支援。您可以將CDN的網域名稱遷移到DCDN，然後使用邊緣DDoS防護。具體操作，請參見將CDN網域名稱升級至DCDN產品。
方案二：DDoS高防和CDN聯動，或者DDoS高防和DCDN聯動
即本文介紹的內容，攻擊流量經過高防清洗後，清潔流量直接轉寄給來源站點。您需要在加速產品和DDoS高防分別佈建網域名接入，然後在DDoS高防的流量調度器中配置聯動。

聯動時攻擊流量調度到高防清洗後，將清潔流量轉寄給來源站點。DCDN的邊緣DDoS防護，攻擊流量調度到高防清洗後，將清潔流量轉寄給DCDN，攻擊時依然實現加速效果。具體請參見下圖。

注意事項

如果您的業務頻寬超過3 Gbps或QPS超過10000，使用聯動功能前，請聯絡您的商務經理進行評估。
攻擊頻率太高（例如，高於每周3次以上）的網站，建議您只使用DDoS高防，避免流量在加速產品和DDoS高防間頻繁切換影響您的業務。
同時支援Anti-DDoS Pro為IPv4、IPv6的配置聯動。
發生攻擊時，業務流量調度到DDoS高防時，防護生效時間可能受DNS TTL生效時間限制。
使用聯動功能前，請確保您的網域名稱在加速產品中不處於沙箱狀態。關於沙箱的詳細資料，請參見沙箱說明。處於沙箱狀態時，如需設定DDoS防護並解除網域名稱的沙箱狀態，請聯絡您的商務經理。

支援聯動的DDoS高防執行個體類型

DDoS（中國內地）專業版執行個體、DDoS（中國內地）進階版執行個體、DDoS高防（非中國內地）保險版執行個體、DDoS高防（非中國內地）無憂版執行個體，且執行個體必須為增強功能套餐。

前提條件

已為網站網域名稱開啟CDN或DCDN加速。具體操作，請參見添加加速網域名稱（CDN聯動）或添加服務網域名稱（DCDN聯動）。
已購買DDoS高防執行個體，並已將網站網域名稱接入DDoS高防。具體操作，請參見購買DDoS高防執行個體、添加網站配置。
已驗證DDoS高防執行個體可以正常轉寄業務流量。具體操作，請參見本地驗證轉寄配置生效。

操作步驟

登入DDoS高防控制台。
在頂部功能表列左上方處，選擇地區。
- DDoS高防（中國內地）：選擇中國內地地區。
- DDoS高防（非中國內地）：選擇非中國內地地區。
在左側導覽列，選擇接入管理 > 流量調度器後，單擊CDN/DCDN聯動調度頁簽。
說明
首次使用聯動調度前，需要單擊立即進行授權，按照指引授權DDoS高防訪問加速產品。

定位到目標網域名稱，單擊操作列的添加聯動，在添加聯動面板完成配置後，單擊下一步。

配置項	說明
DDoS高防執行個體	選擇要與加速產品聯動的DDoS高防執行個體。說明提示該執行個體需要購買增強功能才可使用CDN聯動功能：請按照指引升級執行個體，將執行個體的套餐升級為增強功能。提示未選擇DDoS高防執行個體：請先將網域名稱接入DDoS高防執行個體進行防護。具體操作，請參見添加網站。
聯動資源	系統會自動選擇聯動資源。如果網域名稱未添加到加速產品中，請根據頁面指引進行配置，等待約10分鐘後再設定聯動。具體操作，請參見添加加速網域名稱（CDN）或添加服務網域名稱（DCDN）。
訪問QPS	設定觸發切換到DDoS高防的最小QPS值。關於流量切換的詳細資料，請參見流量切換。說明建議您在設定QPS閾值時，考慮業務突增的情形，將閾值設定為業務歷史峰值的2~3倍以上，即使網站QPS較低，QPS閾值也建議不要低於500。

通過修改本地host檔案驗證流量調度規則是否生效，避免因回源策略不一致出現相容性問題。具體操作，請參見本地驗證轉寄配置生效。
例如，在CDN和高防聯動且回源到OSS的情境，由於CDN回源支援修改回源HOST，而DDoS高防不支援，導致發生攻擊自動切換到DDoS高防後，DDoS高防回源到OSS的正常流量無法被識別，出現業務故障。
前往DNS服務位址修改DNS解析，將DNS解析指向流量調度器產生的CNAME地址。具體操作，請參見修改CNAME解析接入流量調度器。
說明
網域名稱接入加速產品、DDoS高防以及配置聯動規則時，會產生3個CNAME地址，加速產品提供的CNAME、DDoS高防提供的CNAME，以及配置聯動規則時流量調度器產生的CNAME，您需要將網域名稱解析到流量調度器產生的CNAME。

流量切換

流量支援自動切換和手動切換。滿足自動切換條件時，流量會在加速產品和DDoS高防間自動互相切換。您還可以根據業務防護需求，手動將業務流量切換到DDoS高防以及回切到加速產品。通常建議您使用自動切換。

自動切換

切換類型

切換條件

加速產品切換到DDoS高防

滿足如下條件之一即觸發切換：

連續3分鐘內3次訪問QPS超過閾值或連續10分鐘內出現6次以上，並且加速產品上正常業務流量不超過10 Gbps。
DDoS高防監測到網域名稱進入沙箱狀態，並且加速產品上正常業務流量不超過10 Gbps。

DDoS高防回切到加速產品

同時滿足如下條件時觸發切換：

連續12小時以上，網域名稱訪問QPS低於閾值的80%，並且攻擊請求低於10%。
要切回的高防IP不在清洗中、黑洞中，且1小時內不存在清洗、黑洞事件。
網域名稱不在沙箱狀態。

重要

系統僅在08:00~23:00會進行回切操作，其他時間不會觸發回切。

手動切換

操作	說明
加速產品切換到DDoS高防	在未自動觸發DDoS高防清洗時，手動將業務流量切換到DDoS高防進行清洗。如果您的業務流量突增但未達到自動切換的條件，為避免攻擊對業務影響，您可以手動切換。重要只有當Anti-DDoS Pro不在黑洞中，才可以正常切換到DDoS高防。手動將業務流量切換到DDoS高防後，當滿足自動回切的條件時，會自動切換到加速產品。
DDoS高防回切到加速產品	如果是正常業務突增導致的流量切到高防，為避免影響業務，您可以手動將流量回切到加速產品。重要建議您在執行回切前，確認DDoS攻擊已經結束並且網域名稱不處於沙箱狀態。

Anti-DDoS：DDoS高防和CDN或DCDN聯動