阿里云 ESA 免费版的 CC/DDoS 防护及源站保护详细配置方案

一、基础防护配置（自动生效）

1. 启用默认防护

   • ESA 免费版默认开启基础 DDoS 防护，可自动防御≤10Gbps 的 DDoS 攻击和≤10 万 QPS 的 CC 攻击。

   • 无需手动配置，攻击发生时边缘节点会自动拦截异常流量。

2. 验证防护状态

   • 在 ESA 控制台「安全防护 > DDoS」页面查看防护能力状态，确认基础防护已激活。

二、CC攻击专项防护配置

1. 频次控制规则

   • 路径：控制台 → 安全防护 → WAF → 频次控制规则

   • 推荐配置：

     • 规则名称：CC 防护 _ 高频请求拦截

     • 匹配条件：URI 包含/（或指定敏感路径如/api/login）

     • 频次阈值：300 次 /1 分钟（根据业务调整，建议参考正常流量 2-3 倍）

     • 执行动作：拦截并返回 403

2. 精准访问控制

   • 针对异常 User-Agent（如爬虫工具）：

     • 匹配字段：User-Agent

     • 逻辑条件：不等于任一值

     • 内容输入：Android,iPhone,Windows等合法终端标识

     • 执行动作：拦截

3. 滑块验证（针对高级 CC 攻击）

   • 在「Bots 防护」中启用滑块验证，强制可疑客户端完成人机验证。

三、DDoS增强防护措施

1. 清洗阈值优化

   • 免费版清洗阈值由实例规格决定，建议在 ECS 控制台「云盾 DDoS 防护」中设置合理阈值（如 5Gbps）。

2. IP 黑白名单

   • 将已知攻击 IP 加入黑名单：

     • 路径：安全防护 → IP 访问规则

     • 添加规则：拦截指定 IP 段（如来自特定国家的异常 IP）

3. 流量监控告警

   • 配置用量封顶规则（免费版支持）：

     • 统计周期：每小时 / 每天

     • 阈值：设置为业务正常流量的 1.5 倍

     • 执行动作：停用站点（谨慎使用）或触发告警

四、源站保护关键配置

1. IP 白名单机制

   • 在源站防火墙（如 ECS 安全组）中仅允许 ESA 边缘节点 IP 访问：

     • 获取 ESA 节点 IP 列表：控制台 → 站点管理 → 节点信息

     • 安全组规则：允许来源 IP 为 ESA 节点，端口限业务所需（如 80/443）

2. 隐藏真实源站

   • 通过 CNAME 接入 ESA 后，禁止域名直接解析到源站 IP

   • 修改源站 Web 服务配置，拒绝非 ESA 节点的请求（如 Nginx 中添加allow ESA_IP; deny all;）

3. 云安全中心联动

   • 免费安装云安全中心 Agent，开启基础版漏洞检测与基线检查，防止攻击者利用漏洞入侵源站。

五、监控与应急响应

1. 实时日志分析

   • 免费版可通过「即时日志」功能（部分套餐需升级）：

     • 监控高频请求 IP、异常 Referer 等指标

     • 发现攻击特征后及时调整防护规则

2. 应急处理流程

   • 当攻击超免费防护能力时：

     1. 立即升级至企业版（支持 Tbps 级防护）

     2. 临时启用「严格模式」：单 IP 限频 40 次 /10 秒

     3. 联系阿里云技术支持申请临时防护资源

六、免费版限制与建议

1. 能力边界

   • 不承诺防护效果消除时间

   • 超 10Gbps 攻击可能影响加速质量

   • 即时日志等高级功能需升级套餐

2. 优化建议

   • 定期审查 WAF 拦截日志，优化规则减少误杀

   • 关键业务建议购买「全力防护」服务（保底 60Gbps）

通过以上配置，可最大限度利用免费版能力构建防护体系。如需更高级防护，可参考企业版方案。