全部产品
Search
文档中心

DDoS 防护:售前常见问题

更新时间:Feb 22, 2024

本文列举了阿里云DDoS防护产品的售前常见问题。

阿里云DDoS防护是否提供免费服务?

提供。阿里云默认为每个阿里云用户开启免费的DDoS原生防护(即原生防护基础版),提供不超过5 Gbps的DDoS基础防护能力。免费的DDoS防护无需您购买、开通和配置。更多信息,请参见什么是DDoS原生防护

阿里云不能免费帮助用户抵御无限的DDoS攻击。DDoS防御需要成本,其中最大的成本就是带宽费用。带宽由阿里云向电信、联通、移动等运营商购买,运营商在计算带宽费用时不会把DDoS攻击流量扣除掉,而是直接收取阿里云的带宽费用。阿里云DDoS防护为阿里云用户免费防御不超过5 Gbps的DDoS攻击流量,但是当攻击流量超出5 Gbps时,阿里云会屏蔽被攻击IP的流量,从而避免用户产生超额费用。

是否支持仅在业务被攻击时触发防护且收费,无攻击时不收费的DDoS高防服务?

目前不支持。DDoS高防采用包年包月的计费方式,您需要先购买DDoS高防实例并完成预付费,才能在实例有效期内使用DDoS高防服务。

阿里云DDoS防护产品是否支持试用?

  • DDoS原生防护:您购买的阿里云公网IP资产默认开启了基础版防护(免费),享受不超过5 Gbps的DDoS基础防护能力;DDoS原生防护企业版为付费服务,暂不提供试用服务。

    重要

    企业版基于阿里云网络透明防护,且从基础版升级企业版,网络质量、延时和接入方式都不发生改变,因此建议您使用基础版进行网络测试。

  • DDoS高防:由于DDoS高防服务依赖专用机房提供流量清洗服务,成本较高,因此不提供试用服务。

业务服务器部署在非中国内地时,如何选择DDoS高防方案?

场景

DDoS防护方案

业务服务器部署在非中国内地,主要服务非中国内地的用户

购买DDoS高防(非中国内地)保险防护实例或无限防护实例。

业务服务器部署在非中国内地,主要服务中国内地的用户

  • 方案一

    如果您的业务对网络延迟要求比较高(例如游戏业务服务器),建议您将服务器迁移至中国内地,并且购买DDoS高防(中国内地)实例来缓解DDoS攻击。

  • 方案二

    如果您的业务服务器暂时无法迁移到中国内地,您可以购买DDoS高防(非中国内地)保险防护实例或无限防护实例,并同时购买DDoS高防(非中国内地)加速线路,实现在无DDoS攻击时通过加速线路保障中国内地用户访问顺畅的需求。关于DDoS高防(非中国内地)加速线路配置,请参见配置DDoS高防(非中国内地)加速线路

  • 方案三

    如果您的业务服务器暂时无法迁移到中国内地,您可以购买DDoS高防(非中国内地)保险防护实例或无限防护实例,并同时购买DDoS高防(非中国内地)安全加速线路,实现业务跨境加速的同时提供DDoS防护能力。无需在攻击时切换高防IP,可以降低攻击切换期间的延迟和丢包。关于DDoS高防(非中国内地)安全加速线路配置,请参见配置DDoS高防(非中国内地)安全加速

业务服务器部署在非中国内地,同时服务中国内地和非中国内地的用户

  • 方案一

    建议您分区域部署业务服务器,部署在中国内地的服务器服务中国内地用户,部署在非中国内地的服务器服务非中国内地用户。您可以购买DDoS高防(中国内地)实例防护中国内地的业务,购买DDoS高防(非中国内地)保险防护实例或无限防护实例防护非中国内地的业务。

  • 方案二

    如果您的业务服务器暂时无法迁移到中国内地,您可以购买DDoS高防(非中国内地)保险防护实例或无限防护实例,并同时购买DDoS高防(非中国内地)加速线路,实现在无DDoS攻击时通过加速线路保障中国内地用户访问顺畅的需求。关于DDoS高防(非中国内地)加速线路配置,请参见配置DDoS高防(非中国内地)加速线路

  • 方案三

    如果您的业务服务器暂时无法迁移到中国内地,您可以购买DDoS高防(非中国内地)保险防护实例或无限防护实例,并同时购买DDoS高防(非中国内地)安全加速线路,实现业务跨境加速的同时提供DDoS防护能力。无需在攻击时切换高防IP,可以降低攻击切换期间的延迟和丢包。关于DDoS高防(非中国内地)安全加速线路配置,请参见配置DDoS高防(非中国内地)安全加速

非阿里云服务器是否能使用DDoS高防服务?

可以使用。DDoS高防(中国内地)和DDoS高防(非中国内地)支持防护具有公网IP的服务器,只要您的业务使用的对外IP为公网IP ,且与阿里云网络公网路由可达,都可以使用DDoS高防服务。更多信息,请参见什么是DDoS高防

服务器不在阿里云,域名在阿里云,是否能开通DDoS高防?

可以开通。如需开通DDoS高防(中国内地)防护该域名,必须保证域名已完成ICP备案。

使用阿里云DDoS高防是否需要完成域名备案?

如果您的域名要接入DDoS高防(中国内地)进行防护,则必须已经完成域名备案;接入DDoS高防(非中国内地)进行防护时,不需要完成域名备案,但是业务必须合法合规。

关于域名备案的更多信息,请参见ICP备案流程概述

DDoS高防服务支持哪些地域?

  • DDoS高防(中国内地):适用于您的业务服务器部署在中国内地地域的场景。

  • DDoS高防(非中国内地):适用于您的业务服务器部署在中国内地以外地域(包括中国香港等)的场景。

DDoS高防是否限制接入域名的数量?

是,具体限制如下:

  • 每个DDoS高防(中国内地)实例默认支持添加50个域名接入配置,且使用的不同一级域名(站点)数量不超过5个。

  • 每个DDoS高防(非中国内地)实例默认支持添加10个域名接入配置,且使用的不同一级域名(站点)数量不超过1个。

说明

您可以在开通DDoS高防实例时扩展防护域名数规格,单个DDoS高防(中国内地)实例或DDoS高防(非中国内地)实例最多支持添加200个域名接入配置。更多信息,请参见购买DDoS高防实例

DDoS高防是否支持泛域名?

支持。DDoS高防的域名接入配置中支持使用泛域名。更多信息,请参见添加网站配置

泛域名解析指利用通配符(星号)作为次级域名,以实现所有的次级域名均指向同一个IP。 例如,为www.aliyundoc.com配置泛域名解析后,访问*.aliyundoc.com都将解析到泛域名解析的IP。

DDoS高防(中国内地)是否对接入端口有限制?

DDoS高防(中国内地)对接入端口没有限制,您可以将80~65535范围内任意端口的Web业务,接入增强功能的DDoS高防(中国内地)实例进行防护。更多信息,请参见自定义服务器端口

但是,根据当前网络访问验证结果,互联网运营商侧或因部分高危端口存在安全隐患,会拦截针对高危端口的业务流量。相关的高危TCP端口包括:42、135、137、138、139、445、593、1025、1434、1068、3127、3128、3129、3130、4444、5554、5800、5900、9996。

如果您的Web业务使用了上述高危端口,则业务接入高防后,可能出现业务在部分地域无法被访问的问题。因此,建议您将业务接入高防前,确保Web业务使用其他非高危端口。

开通DDoS高防(非中国内地)有什么要求吗?

开通DDoS高防(非中国内地)防护网站业务时,您需要准备好域名(域名可以不用备案,但是业务要合规合法);防护非网站业务时,您可以使用端口接入,无特殊要求。

DDoS高防(中国内地)的保底带宽防护的是所有流量还是仅攻击流量?

DDoS高防(中国内地)的保底带宽防护所有接入DDoS高防(中国内地)实例的业务流量,包含正常业务流量和攻击流量。所有流量经过DDoS高防(中国内地)清洗后,正常的业务流量转发到您的源站服务器,攻击流量被直接拦截。