阿里云 ESA 免费版的 CC/DDoS 防护及源站保护详细配置方案
一、基础防护配置(自动生效)
-
启用默认防护
-
ESA免费版默认开启基础DDoS防护,可自动防御≤10Gbps的DDoS攻击和≤10万QPS的CC攻击。
-
无需手动配置,攻击发生时边缘节点会自动拦截异常流量。
-
-
验证防护状态
-
在ESA控制台「安全防护 > DDoS」页面查看防护能力状态,确认基础防护已激活。
-
二、CC攻击专项防护配置
-
频次控制规则
-
路径:控制台 → 安全防护 → WAF → 频次控制规则
-
推荐配置:
-
规则名称:CC防护_高频请求拦截
-
匹配条件:URI包含
/(或指定敏感路径如/api/login) -
频次阈值:300次/1分钟(根据业务调整,建议参考正常流量2-3倍)
-
执行动作:拦截并返回403
-
-
-
精准访问控制
-
针对异常User-Agent(如爬虫工具):
-
匹配字段:User-Agent
-
逻辑条件:不等于任一值
-
内容输入:
Android,iPhone,Windows等合法终端标识 -
执行动作:拦截
-
-
-
滑块验证(针对高级CC攻击)
-
在「Bots防护」中启用滑块验证,强制可疑客户端完成人机验证。
-
三、DDoS增强防护措施
-
清洗阈值优化
-
免费版清洗阈值由实例规格决定,建议在ECS控制台「云盾DDoS防护」中设置合理阈值(如5Gbps)。
-
-
IP黑白名单
-
将已知攻击IP加入黑名单:
-
路径:安全防护 → IP访问规则
-
添加规则:拦截指定IP段(如来自特定国家的异常IP)
-
-
-
流量监控告警
-
配置用量封顶规则(免费版支持):
-
统计周期:每小时/每天
-
阈值:设置为业务正常流量的1.5倍
-
执行动作:停用站点(谨慎使用)或触发告警
-
-
四、源站保护关键配置
-
IP白名单机制
-
在源站防火墙(如ECS安全组)中仅允许ESA边缘节点IP访问:
-
获取ESA节点IP列表:控制台 → 站点管理 → 节点信息
-
安全组规则:允许来源IP为ESA节点,端口限业务所需(如80/443)
-
-
-
隐藏真实源站
-
通过CNAME接入ESA后,禁止域名直接解析到源站IP
-
修改源站Web服务配置,拒绝非ESA节点的请求(如Nginx中添加
allow ESA_IP; deny all;)
-
-
云安全中心联动
-
免费安装云安全中心Agent,开启基础版漏洞检测与基线检查,防止攻击者利用漏洞入侵源站。
-
五、监控与应急响应
-
实时日志分析
-
免费版可通过「即时日志」功能(部分套餐需升级):
-
监控高频请求IP、异常Referer等指标
-
发现攻击特征后及时调整防护规则
-
-
-
应急处理流程
-
当攻击超免费防护能力时:
-
立即升级至企业版(支持Tbps级防护)
-
临时启用「严格模式」:单IP限频40次/10秒
-
联系阿里云技术支持申请临时防护资源
-
-
六、免费版限制与建议
-
能力边界
-
不承诺防护效果消除时间
-
超10Gbps攻击可能影响加速质量
-
即时日志等高级功能需升级套餐
-
-
优化建议
-
定期审查WAF拦截日志,优化规则减少误杀
-
关键业务建议购买「全力防护」服务(保底60Gbps)
-
通过以上配置,可最大限度利用免费版能力构建防护体系。如需更高级防护,可参考企业版方案。