使用CDN或DCDN后如何进行DDoS防护 - DDoS 防护

当网站既需要访问加速，又需要进行DDoS防护时，可以使用DDoS高防和加速产品（CDN或DCDN）联动。通过流量调度器的智能调度，业务正常访问期间，流量不经过DDoS高防清洗就近使用加速产品的节点加速，仅在业务被攻击时流量切换到DDoS高防进行清洗，由高防将清洁流量直接转发给源站，保证业务平稳运行。本文介绍如何配置DDoS高防和加速产品（CDN或DCDN）联动。

功能介绍

业务既需要访问加速又需要DDoS防护时，阿里云支持如下两种方案：

方案一：DCDN的边缘DDoS防护（推荐）
域名接入DCDN后，在DCDN侧直接配置边缘DDoS防护，无需繁琐配置即可一键开启DDoS防护。无需在DDoS高防侧配置。具体操作，请参见防护配置。
说明
仅DCDN支持边缘DDoS防护，CDN不支持。您可以将CDN的域名迁移到DCDN，然后使用边缘DDoS防护。具体操作，请参见将CDN域名升级至DCDN产品。
方案二：DDoS高防和CDN联动，或者DDoS高防和DCDN联动
即本文介绍的内容，攻击流量经过高防清洗后，清洁流量直接转发给源站。您需要在加速产品和DDoS高防分别配置域名接入，然后在DDoS高防的流量调度器中配置联动。

联动时攻击流量调度到高防清洗后，将清洁流量转发给源站。DCDN的边缘DDoS防护，攻击流量调度到高防清洗后，将清洁流量转发给DCDN，攻击时依然实现加速效果。具体请参见下图。

注意事项

如果您的业务带宽超过3 Gbps或QPS超过10000，使用联动功能前，请联系您的商务经理进行评估。
攻击频率太高（例如，高于每周3次以上）的网站，建议您只使用DDoS高防，避免流量在加速产品和DDoS高防间频繁切换影响您的业务。
同时支持DDoS高防IP为IPv4、IPv6的配置联动。
发生攻击时，业务流量调度到DDoS高防时，防护生效时间可能受DNS TTL生效时间限制。
使用联动功能前，请确保您的域名在加速产品中不处于沙箱状态。关于沙箱的详细信息，请参见沙箱说明。处于沙箱状态时，如需设置DDoS防护并解除域名的沙箱状态，请联系您的商务经理。

支持联动的DDoS高防实例类型

DDoS（中国内地）专业版实例、DDoS（中国内地）高级版实例、DDoS高防（非中国内地）保险版实例、DDoS高防（非中国内地）无忧版实例，且实例必须为增强功能套餐。

前提条件

已为网站域名开启CDN或DCDN加速。具体操作，请参见添加加速域名（CDN联动）或添加服务域名（DCDN联动）。
已购买DDoS高防实例，并已将网站域名接入DDoS高防。具体操作，请参见购买DDoS高防实例、添加网站配置。
已验证DDoS高防实例可以正常转发业务流量。具体操作，请参见本地验证转发配置生效。

操作步骤

登录DDoS高防控制台。
在顶部菜单栏左上角处，选择地域。
- DDoS高防（中国内地）：选择中国内地地域。
- DDoS高防（非中国内地）：选择非中国内地地域。
在左侧导航栏，选择接入管理 > 流量调度器后，单击CDN/DCDN联动调度页签。
说明
首次使用联动调度前，需要单击立即进行授权，按照指引授权DDoS高防访问加速产品。

定位到目标域名，单击操作列的添加联动，在添加联动面板完成配置后，单击下一步。

配置项	说明
DDoS高防实例	选择要与加速产品联动的DDoS高防实例。说明提示该实例需要购买增强功能才可使用CDN联动功能：请按照指引升级实例，将实例的套餐升级为增强功能。提示未选择DDoS高防实例：请先将域名接入DDoS高防实例进行防护。具体操作，请参见添加网站。
联动资源	系统会自动选择联动资源。如果域名未添加到加速产品中，请根据页面指引进行配置，等待约10分钟后再设置联动。具体操作，请参见添加加速域名（CDN）或添加服务域名（DCDN）。
访问QPS	设置触发切换到DDoS高防的最小QPS值。关于流量切换的详细信息，请参见流量切换。说明建议您在设置QPS阈值时，考虑业务突增的情形，将阈值设置为业务历史峰值的2~3倍以上，即使网站QPS较低，QPS阈值也建议不要低于500。

通过修改本地host文件验证流量调度规则是否生效，避免因回源策略不一致出现兼容性问题。具体操作，请参见本地验证转发配置生效。
例如，在CDN和高防联动且回源到OSS的场景，由于CDN回源支持修改回源HOST，而DDoS高防不支持，导致发生攻击自动切换到DDoS高防后，DDoS高防回源到OSS的正常流量无法被识别，出现业务故障。
前往DNS服务商处修改DNS解析，将DNS解析指向流量调度器生成的CNAME地址。具体操作，请参见修改CNAME解析接入流量调度器。
说明
域名接入加速产品、DDoS高防以及配置联动规则时，会生成3个CNAME地址，加速产品提供的CNAME、DDoS高防提供的CNAME，以及配置联动规则时流量调度器生成的CNAME，您需要将域名解析到流量调度器生成的CNAME。

流量切换

流量支持自动切换和手动切换。满足自动切换条件时，流量会在加速产品和DDoS高防间自动互相切换。您还可以根据业务防护需求，手动将业务流量切换到DDoS高防以及回切到加速产品。通常建议您使用自动切换。

自动切换

切换类型

切换条件

加速产品切换到DDoS高防

满足如下条件之一即触发切换：

连续3分钟内3次访问QPS超过阈值或连续10分钟内出现6次以上，并且加速产品上正常业务流量不超过10 Gbps。
DDoS高防监测到域名进入沙箱状态，并且加速产品上正常业务流量不超过10 Gbps。

DDoS高防回切到加速产品

同时满足如下条件时触发切换：

连续12小时以上，域名访问QPS低于阈值的80%，并且攻击请求低于10%。
要切回的高防IP不在清洗中、黑洞中，且1小时内不存在清洗、黑洞事件。
域名不在沙箱状态。

重要

系统仅在08:00~23:00会进行回切操作，其他时间不会触发回切。

手动切换

操作	说明
加速产品切换到DDoS高防	在未自动触发DDoS高防清洗时，手动将业务流量切换到DDoS高防进行清洗。如果您的业务流量突增但未达到自动切换的条件，为避免攻击对业务影响，您可以手动切换。重要只有当DDoS高防IP不在黑洞中，才可以正常切换到DDoS高防。手动将业务流量切换到DDoS高防后，当满足自动回切的条件时，会自动切换到加速产品。
DDoS高防回切到加速产品	如果是正常业务突增导致的流量切到高防，为避免影响业务，您可以手动将流量回切到加速产品。重要建议您在执行回切前，确认DDoS攻击已经结束并且域名不处于沙箱状态。

DDoS 防护：DDoS高防和CDN或DCDN联动