DDoS高防實(shí)例過期后會怎樣？

更多信息，請參見DDoS高防（中國內(nèi)地）計(jì)費(fèi)說明。

DDoS高防業(yè)務(wù)帶寬說明

DDoS高防實(shí)例的業(yè)務(wù)帶寬指接入當(dāng)前實(shí)例防護(hù)業(yè)務(wù)的正常業(yè)務(wù)流量，取入流量和出流量其中的較大值，單位：Mbps。

您可以在DDoS高防控制臺的實(shí)例管理頁面對實(shí)例進(jìn)行升級，增大當(dāng)前實(shí)例的業(yè)務(wù)帶寬。具體操作，請參見升級實(shí)例。

超過DDoS高防業(yè)務(wù)帶寬會有什么影響？

如果您的業(yè)務(wù)流量超過購買的DDoS高防實(shí)例的業(yè)務(wù)帶寬，將觸發(fā)流量限速，可能導(dǎo)致隨機(jī)丟包。

DDoS高防實(shí)例支持手動解除黑洞狀態(tài)嗎？

DDoS高防的回源IP地址有哪些？

您可以在DDoS高防控制臺的域名接入頁面查看DDoS高防的回源IP網(wǎng)段。更多信息，請參見放行DDoS高防回源IP。

DDoS高防是否會自動將DDoS高防的回源IP地址加入白名單？

不會。如果您的源站部署了防火墻或第三方的主機(jī)安全防護(hù)軟件，您需要將DDoS高防的回源IP網(wǎng)段添加至相應(yīng)的白名單中。更多信息，請參見放行DDoS高防回源IP。

DDoS高防服務(wù)中的源站IP可以填寫內(nèi)網(wǎng)IP嗎？

不可以。DDoS高防通過公網(wǎng)進(jìn)行回源，不支持直接填寫內(nèi)網(wǎng)IP。

修改DDoS高防服務(wù)的源站IP是否有延遲？

有延遲。修改DDoS高防服務(wù)已防護(hù)的源站IP后，需要大約五分鐘生效，建議您在業(yè)務(wù)低峰期進(jìn)行變更操作。相關(guān)操作，請參見更換源站ECS公網(wǎng)IP。

DDoS高防是否支持健康檢查？

支持。網(wǎng)站業(yè)務(wù)默認(rèn)開啟健康檢查。非網(wǎng)站業(yè)務(wù)默認(rèn)不開啟健康檢查，但可以通過DDoS高防控制臺開啟，具體操作，請參見配置健康檢查。

關(guān)于健康檢查的更多信息，請參見CLB健康檢查工作原理。

DDoS高防配置多個(gè)源站時(shí)如何進(jìn)行負(fù)載均衡？

網(wǎng)站業(yè)務(wù)通過源地址HASH方式進(jìn)行負(fù)載均衡。非網(wǎng)站業(yè)務(wù)可通過加權(quán)輪詢的方式輪詢轉(zhuǎn)發(fā)。

DDoS高防服務(wù)是否支持會話保持？

支持。非網(wǎng)站業(yè)務(wù)可以通過DDoS高防控制臺開啟會話保持，具體操作，請參見配置會話保持。

DDoS高防服務(wù)的會話保持是如何實(shí)現(xiàn)的？

開啟會話保持后，在會話保持的設(shè)定期間內(nèi)，DDoS高防服務(wù)會把同一IP的請求持續(xù)發(fā)往源站中的一臺服務(wù)器。但是，如果客戶端的網(wǎng)絡(luò)環(huán)境發(fā)生變化（例如，從有線切成無線、4G網(wǎng)絡(luò)切成無線等），由于IP變化會導(dǎo)致會話保持失效。

DDoS高防的四層TCP默認(rèn)連接超時(shí)時(shí)間是多長？

900秒。

DDoS高防的HTTP或HTTPS默認(rèn)連接超時(shí)時(shí)間是多久？

120秒。

DDoS高防服務(wù)是否支持IPv6協(xié)議？

DDoS高防（中國內(nèi)地）支持，DDoS高防（非中國內(nèi)地）暫不支持。

DDoS高防服務(wù)是否支持Websocket協(xié)議？

支持。更多信息，請參見DDoS高防WebSocket配置。

DDoS高防服務(wù)是否支持HTTPS雙向認(rèn)證？

網(wǎng)站接入方式不支持HTTPS雙向驗(yàn)證。非網(wǎng)站接入且使用TCP轉(zhuǎn)發(fā)方式時(shí)，支持HTTPS雙向驗(yàn)證。

為什么老版本瀏覽器和安卓客戶端無法正常訪問HTTPS站點(diǎn)？

可能是因?yàn)榭蛻舳瞬恢С諷NI認(rèn)證，請確認(rèn)客戶端是否支持SNI認(rèn)證。關(guān)于SNI認(rèn)證可能引發(fā)的問題，請參見SNI可能引發(fā)的HTTPS訪問異常。

DDoS高防支持的SSL協(xié)議和加密套件有哪些？

支持的SSL協(xié)議包括：TLS 1.0、TLS 1.1、TLS 1.2、TLS 1.3。

更多信息，請參見自定義TLS安全策略。

DDoS高防如何保證上傳證書及密鑰的安全性？是否會解密HTTPS流量并記錄訪問請求的內(nèi)容？

阿里云DDoS高防在防護(hù)HTTPS業(yè)務(wù)時(shí)，需要您上傳對應(yīng)的SSL證書及密鑰，用于解密HTTPS流量并檢測流量中的攻擊特征。我們使用了專用的證書服務(wù)器（Key Server）來存儲和管理密鑰。Key Server依托于阿里云密鑰管理系統(tǒng)KMS（Key Management Service），能夠保護(hù)證書和密鑰的數(shù)據(jù)安全性、完整性和可用性，符合監(jiān)管和等保合規(guī)要求。關(guān)于KMS的詳細(xì)介紹，請參見什么是密鑰管理服務(wù)。

DDoS高防使用您上傳的SSL證書及密鑰解密HTTPS業(yè)務(wù)流量，只用于實(shí)時(shí)檢測。我們只會記錄包含攻擊特征（payload）的部分請求內(nèi)容，用于攻擊報(bào)表展示、數(shù)據(jù)統(tǒng)計(jì)等，不會在您未授權(quán)的情況下，記錄全量的請求或響應(yīng)內(nèi)容。

阿里云DDoS高防已通過ISO9001、ISO20000、ISO27001、ISO27017、ISO27018、ISO22301、ISO27701、ISO29151、BS10012、CSA STAR、等保三級、SOC1/2/3、C5、HK金融、菲律賓金融、OSPAR、ISO27001（印尼）、PCI DSS等多項(xiàng)國際權(quán)威認(rèn)證，且作為標(biāo)準(zhǔn)的阿里云云產(chǎn)品，在云平臺層面具備與阿里云同等水平的安全合規(guī)資質(zhì)。詳細(xì)內(nèi)容，請參見阿里云信任中心。

DDoS高防支持的防護(hù)端口數(shù)和防護(hù)域名數(shù)有什么限制？

服務(wù)器的流量未達(dá)到清洗閾值，為何安全總覽中會出現(xiàn)清洗流量？

對于已接入DDoS高防服務(wù)的業(yè)務(wù)，DDoS高防將自動過濾網(wǎng)絡(luò)流量中存在的一些畸形包（例如，SYN小包、SYN標(biāo)志位異常等不符合TCP協(xié)議的數(shù)據(jù)包），使您的業(yè)務(wù)服務(wù)器無需浪費(fèi)資源處理這些明顯的畸形包。這類被過濾的畸形包也將被計(jì)入清洗流量中，因此即使您的服務(wù)器流量未達(dá)清洗閾值，仍可能出現(xiàn)清洗流量。

DDoS高防服務(wù)是否支持接入采用NTLM協(xié)議認(rèn)證的網(wǎng)站？

不支持。經(jīng)DDoS高防轉(zhuǎn)發(fā)的訪問請求可能無法通過源站服務(wù)器的NTLM認(rèn)證，客戶端將反復(fù)出現(xiàn)認(rèn)證提示。建議您使用DDoS原生防護(hù)，了解更多信息，請參見什么是DDoS原生防護(hù)。

阿里云DDoS高防開放的端口是否對我的業(yè)務(wù)安全造成影響？

不會。DDoS高防（中國內(nèi)地）和高防（非中國內(nèi)地）開放的端口都不會對您的業(yè)務(wù)造成影響。

高防對外提供流量接入轉(zhuǎn)發(fā)服務(wù)，防護(hù)集群中會預(yù)定義一系列端口用于您的網(wǎng)站業(yè)務(wù)接入和防護(hù)服務(wù)。每個(gè)接入高防的域名或端口的業(yè)務(wù)流量只通過接入配置時(shí)設(shè)置的源站服務(wù)端口進(jìn)行轉(zhuǎn)發(fā)。任何未接入高防的源站服務(wù)端口上的訪問請求是不會被轉(zhuǎn)發(fā)到源站服務(wù)器的，因此未配置接入高防的端口開啟不會對您的源站服務(wù)帶來任何安全風(fēng)險(xiǎn)和威脅。

DDoS高防是否支持屏蔽境外指定國家IP或所有境外IP的訪問？

支持。DDoS高防提供區(qū)域封禁，對于境外IP支持您按國家設(shè)置封禁。

如果您需要對DDoS高防實(shí)例防護(hù)的所有業(yè)務(wù)設(shè)置區(qū)域封禁，請參見設(shè)置區(qū)域封禁。如果您需要對指定域名設(shè)置區(qū)域封禁，請參見設(shè)置區(qū)域封禁（針對域名）。

CDN或DCDN能否和DDoS高防串聯(lián)？

不建議。

• 流量先到CDN或DCDN，再到DDoS高防

  攻擊流量到CDN或DCDN后，CDN或DCDN被攻擊可能會進(jìn)入沙箱，無法將流量轉(zhuǎn)發(fā)給DDoS高防，DDoS高防的防護(hù)失去意義。

• 流量先到DDoS高防，再到CDN或DCDN

  使用CDN或DCDN的目的是用戶可以實(shí)現(xiàn)訪問加速，流量先經(jīng)過DDoS高防會導(dǎo)致時(shí)延增加，影響加速效果。

更多詳細(xì)信息，請參見DDoS高防和CDN或DCDN聯(lián)動。

域名既使用了CDN或DCDN加速，又使用了DDoS高防，如何配置DNS解析？

您需要在加速產(chǎn)品（CDN或DCDN）和DDoS高防分別配置域名接入，然后在DDoS高防的流量調(diào)度器中配置聯(lián)動。域名解析到DDoS高防流量調(diào)度器生成的CNAME地址。

在業(yè)務(wù)正常訪問期間，流量不經(jīng)過高防清洗就近使用CDN加速，減少業(yè)務(wù)延遲，保障業(yè)務(wù)分發(fā)高可用；僅在業(yè)務(wù)被攻擊時(shí)流量切換到DDoS高防進(jìn)行清洗，保證業(yè)務(wù)平穩(wěn)運(yùn)行。更多詳細(xì)信息，請參見DDoS高防和CDN或DCDN聯(lián)動。