全部产品
Search
文档中心

边缘安全加速:使用限制

更新时间:Oct 25, 2024

域名接入阿里云DCDN之前,您需要了解阿里云DCDN关于服务域名的接入条件和规范,避免因域名涉及违规内容而造成损失。

分类

说明

物联网卡访问限制

根据中华人民共和国工业和信息化部(简称:工信部)的相关规定(《关于印发〈物联网卡安全分类管理实施指引(试行)〉的通知》(工网安函[2020]1173号)),阿里云DCDN产品在中国内地无法为使用物联网卡的终端提供加速服务,终端设备使用物联网卡来访问阿里云DCDN节点的情况下,很可能会无法连接到节点IP。

安全违规行为及安全违规信息

所有接入DCDN的域名都要经过内容审核,DCDN目前不支持接入的域名包括但不限于:

  • 无法正常访问或内容不含有任何实质信息

  • 游戏私服类

  • 传奇类游戏和纸牌类游戏

  • 盗版软件等无版权下载网站

  • P2P类金融网站

  • 彩票类网站

  • 违规医院和药品类网站

  • 涉黄、涉毒、涉赌等

说明
  • 含有以上违规内容的服务域名,由您自行承担任何可能的风险。阿里云DCDN系统也将定期复审域名内容,如果发现以上任何违规行为,则系统会立即下线或封禁域名。情节严重的将封禁整个账号下域名服务,且永不恢复。

  • 如果您在阿里云DCDN接入了一个泛域名(例如*.example.com)进行加速,该泛域名包含的某个精确域名(例如a.example.com)出现了以上违规内容,阿里云DCDN将下线该泛域名(*.example.com)。

  • 如果您的域名审核被拒绝,请在控制台的域名列表查看拒绝原因,自行整改后重新提交域名审核。

突发带宽/QPS限流规则

根据阿里云服务协议中专用服务条款中的相关规定,如果您对DCDN服务有突发带宽/QPS使用需求(包括但不限于带宽容量压测、QPS性能压测、促销活动、重大发布等),您需至少提前3个工作日(重大节日的突发,包括但不限于春晚、双十一等,需要提前至少1个月)联系阿里云申请突发带宽用量。

  • 若申请成功,在双方约定的突发量级内,可确保您的服务不受影响。

  • 若申请不成功或未申请,则对于突发带宽,阿里云有权采取限流等措施(不会100%触发限流,阿里云会根据域名业务情况、突发带宽量级等因素综合判断)来保障全网用户的稳定性,由此导致的可用性问题,阿里云不承担责任。

  • 未提前申请突发用量或申请不成功,有可能会出现以下问题:

    • 带宽突增有可能会触发阿里云DCDN的限流规则。详细信息,请参见突发带宽说明

    • QPS突增有可能会触发阿里云DCDN的CC防护规则,导致域名被切入沙箱

域名被攻击或盗刷的潜在风险

阿里云DCDN产品默认并不提供访问控制或者安全防护能力,如果您的域名因被恶意攻击或流量被恶意盗刷,产生了突发高带宽或者大流量消耗,很可能会产生高于日常消费金额的高额账单。

因恶意攻击或流量盗刷产生的高额账单无法免除/退款,为尽量避免此类风险,您可以通过高额账单风险警示 了解这一类情况的应对办法。

共享IP

DCDN默认为您的加速域名提供共享的加速IP,共享的加速IP及其端口供所有用户共用,因此可能存在80、443以外的其他端口处于开放状态(部分安全产品可能将这些开放端口视为漏洞)。

文件

  • 文件缓存

    • 源站响应了强制不缓存的header:当文件大小超过100 MB,且缓存命中状态为MISS(未命中)时,如果源站响应了no-cache这种强制不缓存的响应头,DCDN会在100 MB时断开。

    • 源站响应了可以缓存的响应头:DCDN节点可以缓存的文件最大为500 GB。

  • 文件上传

    通过阿里云DCDN产品向源站上传文件,上传文件的大小限制为单个文件最大不超过300 MB。

回源

  • 通过控制台或者API添加的HTTP请求头长度:最大不能超过300字节。

  • 超时时间

    TCP层默认为10秒,HTTP层默认为30秒。

  • 响应头

    如果源站不响应Content-Type,DCDN会自动添加Content-Type:application/octet-stream

  • Head请求默认转换为Get请求方式回源

    默认情况下,用户的Head请求经过阿里云DCDN节点之后再访问源站,会被自动转换为Get请求方式,如果您希望保持Head请求回源的方式,您可以在DCDN控制台的“回源HTTP请求头”功能中配置自定义回源头,配置时请根据下方取值填写。具体操作,请参见配置自定义回源HTTP请求头

    • 自定义参数:Ali-Swift-Fwd-Head

    • 取值:on

URL长度限制、HTTP请求头长度限制、URL+所有HTTP请求头的总长度限制

HTTP2.0场景下:

  • 默认Nginx参数http2_max_field_size=32 KB,即单个HTTP请求头和单个请求URL的长度,均不能超过32 KB,否则返回414错误码。

  • 默认Nginx参数http2_max_header_size=128 KB,表示所有HTTP请求头长度+URL的长度之和,不能超过128 KB,否则返回400错误码。

HTTP1.1场景下:目前DCDN的large_client_header_buffers值配置的是number=4、size=64 KB,即单个HTTP请求头和单个请求URL的长度,均不能超过64 KB,否则返回414错误码;并且所有HTTP请求头长度+URL的长度之和,不能超过256 KB,否则返回400错误码。

请求方式

常见的HTTP请求方式里面,DCDN支持GETPUTPOSTHEADOPTION这几种请求方式。

说明
  • 如果需要支持DELETEPATCH请求方式,请开启动态加速功能。

  • PUT请求方式支持带有请求体(BODY)或者不带请求体(Content-Length=0)的HTTP请求。

  • POST请求方式支持chunk编码,支持带有请求体(BODY)或者不带请求体(Content-Length=0)的HTTP请求。

  • 对于访问静态缓存资源的场景(访问不缓存的动态资源不存在HEAD请求转换为GET请求这个默认转换动作),默认情况下,DCDN节点会将用户的HEAD请求转换为GET请求方式回源,如果您希望保持HEAD请求方式回源,您可以在DCDN控制台配置自定义回源头,配置时根据下方取值进行填写。具体操作,请参见配置自定义回源HTTP请求头

    • 自定义回源头名称:Ali-Swift-Fwd-Head

    • 取值:on

单用户可调用API接口频率限制

针对阿里云DCDN产品上所有API接口,单用户可调用频率为1000次/秒。超过阈值上限时,会返回下述提示信息:

ErrorCode:Throttling
ErrorMessage:Request was denied due to flow control.