阿里云高防IP使用介绍

Q:阿里云高防IP支持哪些地域的IP接入?

A:IP高防支持任何地域的IP接入,包括阿里云内和云外的用户接入。

Q:阿里云高防IP支持哪些转发协议?

A:IP高防支持TCP、UDP、HTTP、HTTPS协议的转发配置,并支持websocket协议接入,覆盖所有的业务场景。。

Q:阿里云高防IP非网站类转发和网站类转发的区别?

A:两种转发配置对应不同的应用场景和使用协议,具体区别如下:
非网站类:主要应用于游戏、电商、金融、APP等业务场景;支持协议:TCP协议,UDP协议。

提供3到4层SYNFlood、ACKFlood、ICMPFlood、UDPFlood、NTPFlood、SSDPFlood等攻击防护。不支持应用层的DDoS防护。

网站类:主要应用于网站类业务。支持协议:http/https协议,支持websocket接入,支持80和443以及非标端口的接入。

除了提供SYNFlood、ACKFlood、ICMPFlood、UDPFlood、NTPFlood、SSDPFlood等攻击防护,还支持CC攻击、HTTPFlood等应用层攻击防护。

Q:阿里云高防IP支持哪些线路?

A:IP高防支持单线和多线的线路购买,并支持单线升级套餐为多线线路。
单线:电信线路。
多线:电信+联通+移动线路。

默认情况下电信线路会解析到电信机房,联通线路解析到联通机房,移动线路解析到移动机房。如攻击流量超过联通或移动机房的最大容量,线路会解析到电信线路完成清洗。

Q:阿里云高防IP是否支持泛域名?

A:IP高防网站类转发规则配置中,支持对泛域名进行防护。

泛域名解析是指利用通配符()作为次级域名,以实现所有的次级域名均指向同一IP。例如支持配置.cloud.com。

Q:什么是业务带宽,超过之后会怎么样?

A:IP高防购买的业务带宽是针对整个阿里云的,指该阿里云所有正常业务的IN或者OUT方向的带宽。

IP高防默认赠送100M业务带宽,如超过业务带宽,会触发流量限速,可能导致随机丢包。如业务带宽超出,系统会发送告警通知,建议你及时升级。

Q:接入阿里云高防IP的域名有什么要求?

A:根据工信部的相关法律规定,IP高防仅对已备案的域名进行安全防护。如果域名未备案,将不能提供IP高防服务。

Q:CC防护是针对什么业务的?

A:CC防护是针对网站类业务的,默认关闭。CC防护关闭时,CC防护模式不生效。

开启总开关后,该阿里云下的所有域名将开启CC防护,可以手动关闭不需要开启CC防护的域名。

Q:阿里云高防IP为什么会发生黑洞?

A:当攻击流量达到你购买的IP高防套餐上限时,将触发黑洞,服务器的所有访问将被屏蔽。

建议购买更高的防护套餐,获得更大的防护能力。套餐升级后,系统将自动解封,解封秒级生效。

Q:黑洞了会封禁多久,如何解封?

A:IP高防默认的黑洞策略是封禁2小时,如果2小时内该服务器不再遭受攻击,将自动解封。

服务器解封的时间,与黑洞触发的次数和攻击峰值均有关系,如果该服务器持续遭受攻击,封禁的时间会不断加长。

如果攻击流量过大,触发了运营商的封禁,解封时长将由运营商的策略决定,时长不确定。

Q:阿里云高防IP支持哪些错误状态码?

A:高防对以下特殊情况,设置了错误码页面,你可以根据页面提示,查看和排查问题。

错误码含义出现原因该怎么办ERROR400域名不存在高防阿里云中没有配置该域名检测配置,添加网站转发域名ERROR421连接被阻断命中黑名单规则请确认该网站已购买阿里云的IP高防服务,且配置已生效。ERROR493请求重入你的同一访问多次经过阿里云IP高防的节点或者被CC防护拦截。请确认网站配置,是否配置了多重代理服务器,且代理路径发生环路。ERROR522源站返回错误源站返回500,502错误号检测源站服务ERROR526源站繁忙高防节点回源建连失败或者连接超时检测源站ERROR527源站返回错误源站返回504错误号检测源站服务

错误页面样式以下图为例:

Q:什么是备用IP?配置备用IP有什么好处?

A:备用IP是相对于回源IP来说,作为备用的IP。定义如下:

回源IP:是指发生攻击时,高防的回源地址,可以是IP地址或域名。建议回源IP为外界不可见的IP地址。

备用IP:是指非攻击状态时,高防的回源IP地址,该地址为对外可见的备用IP。备用IP不是必填项。

配置备用IP的好处是:
当用户常态不在高防时,流量将直达备用IP地址,保证常态时,业务延时更低,访问更快;只有攻击时,阿里云智能调度中心才会将流量调度到高防进行过滤清洗,转发干净的流量到源站。

常态使用的IP和攻击回源的IP分开,有效提高了用户业务的可用性。

回源IP地址为100.10.10.1,备用IP地址为100.10.10.2,可根据网络状况,进行回源/防御状态栏的切换。
正常状态时,“回源/防御状态”栏请选择回源,流量将直接指向备用IP地址100.10.10.2;
发现攻击时,“回源/防御状态”栏请切换到防御,流量经高防清洗后将回源到IP地址100.10.10.1。

Q:阿里云高防IP支持非80端口的网站接入么?

A:支持。IP高防支持自定义端口,满足非标端口的网站类业务接入需求。

Q:什么是HTTP回源?

A:所示,开启HTTP回源之后,经IP高防回源到服务器时,会转换为HTTP的协议回源。默认使用的回源端口为80。

如果HTTP自定义了端口,则使用自定义的端口回源。

Q:阿里云高防IP是否支持IPV6,有什么特殊限制么?

A:IP高防目前电信线路已经支持IPv6线路,你可以在新购阿里云时,根据需要选择仅IPV4地址,或同时支持IPV4和IPV6地址。

限制说明:联通和移动线路,暂不支持IPV6;已经购买的IPV4阿里云暂不支持升级到IPV6;回源的IP地址,不支持配置IPV6。如有特殊需求,请工单反馈。

Q:接入阿里云高防IP后,如何获取客户端的真实IP?

A:如果是(四层)非网站类接入,通过TCP端口转发流量时,源站需要使用TOA模块来获取客户端的真实IP。当端口是UDP转发时,则源站无法获取真实客户端的IP。

如果是(七层)网站类接入,因为使用了七层服务器做代理,所以源站默认看到的是代理服务器的IP地址。可以通过HTTP头部的X-Forwareded-For字段来获取客户端的真实IP地址。格式为:X-Forwareded-For:用户真实IP,代理服务器1的IP,代理服务器2的IP,代理服务器3的IP,...

不管经过几层代理(如流量先经过高防,再经过了WAF,LB等代理服务器),用户真实请求的IP永远位于X-Forwareded-For的第一个位置。