安全與加速服務中，訪問鏈路是如何的？

如示意圖所示，流量訪問流程主要分為以下幾個步驟：

1. 邊緣安全加速平臺是將安全能力賦能在所有邊緣節點，用戶的訪問通過智能負載均衡系統就近接入邊緣節點。
2. 邊緣節點會解析訪問請求報文，根據防護規則判斷訪問請求是否為惡意請求。
3. 如果是惡意請求，邊緣節點會根據客戶配置的策略進行處理，比如阻斷請求直接響應攔截信息給請求客戶端。
4. 如果是正常業務請求，邊緣節點會通過加速網絡，進行緩存、動態選路等相關處置，最終將請求轉發到客戶源站，其中對于請求客戶端來講源站服務器是隱身的。

上傳HTTPS證書時提示上傳失敗是什么原因？

邊緣安全加速平臺支持上傳客戶自有的HTTPS證書，一般證書上傳失敗主要有以下幾種原因：

• 證書格式錯誤

當前只支持PEM格式的證書上傳，上傳證書失敗往往是證書格式錯誤的原因，請仔細核對證書格式再重新上傳。

PEM格式證書文件示例：

PEM格式證書私鑰示例：

• 證書與密鑰不匹配

請檢查證書的證書文件私鑰文件的MD5值是否相同，如果MD5值不同則表明證書文件和私鑰文件內容不匹配。

您可以執行openssl x509 -noout -modulus -in <文件>|openssl md5命令，分別查看證書文件和私鑰文件的MD5值，如果MD5值不同請檢查證書內容確認MD5一致后在重新上傳。

安全與加速服務是否支持泛域名?

• 什么是泛域名？

泛域名加速是指通過配置泛域名規則，實現在一個域名下，進行多個子域名的服務。這樣可以統一管理多個子域名，一次性實現網站多個子域名安全與加速服務。假如您在邊緣安全加速控制臺上配置了一個泛域名 *.daliqc.cn，那么該泛域名包含的二級子域名，例如assets.daliqc.cn與images.daliqc.cn等，都將實現安全與加速服務。

• 如何新增泛域名？
  首先，需要登錄，其次需要添加服務域名。

安全與加速服務是否會解密HTTPS流量并記錄請求內容？

安全與加速服務在防護HTTPS業務時，需要您上傳網站對應的HTTPS證書用于解密HTTPS流量，通過檢測解密后的流量來判斷請求是否符合攻擊特征。

安全與加速服務使用您上傳的HTTPS證書解密業務流量只是用于實時監測，只會記錄帶有攻擊特征的一部分請求信息，用于安全與加速服務控制臺報表展示和攻擊日志查詢等功能。

如何確認域名CNAME解析是否正常？

Windows PC客戶端：同時按住Windows+R鍵，輸入cmd，敲回車以打開命令提示符窗口，輸入命令“nslookup 域名”，查看返回的結果中是否顯示正確的CNAME信息。

MAC OS 或者 Linux 客戶端：打開終端工具，輸入命令“dig 域名”，查看返回的結果中是否顯示正確的的CNAME信息。

多個域名是否可以使用同一源站IP地址？

多個域名可以使用同一源站IP地址。但需要注意，如果多個域名回同一個源站IP地址時，源站需要考慮承載能力，特別是業務有突發場景時，單IP源站可能有崩潰風險。因此建議使用多個源IP，可按承載能力分配權重，或配置主備策略。邊緣安全加速平臺支持豐富的回源策略，支持客戶自定義源站。例如，支持IP或域名，支持配置多個源站地址，多源站場景下，支持設置源站的主備優先級和權重，實現負載均衡。回源配置說明詳情請見：源站配置。

如何獲取安全與加速服務的回源IP或IP段？

您可以聯系我們 申請開通回源IP通知郵件，需提供信息如下：

• 賬號名稱
• 接收郵箱
• 協議類型：IPv4/IPv6
• 數據格式：IP 或 IP段

開通完成后，回源IP信息將會以郵件的方式同步。

源站域名可以和加速域名一致嗎？

源站域名和安全與加速服務域名不能一致。原因是：用戶訪問安全與加速服務域名的網站資源，當邊緣云節點上沒有緩存對應的內容時，邊緣云節點會回到源站獲取，然后再返回給用戶。如果源站域名與加速域名一致，將會造成訪問請求回環到邊緣云節點，導致邊緣云節點無法拉取到正常內容。

邊緣安全加速平臺-安全與加速服務產品支持將IP或域名設置為源站，如設置的源站為域名形式，請確保源站域名非加速域名。

安全與加速服務如何防御CC攻擊？

• 什么是CC攻擊？

  CC攻擊是一種惡意網絡攻擊，旨在通過向目標服務器發送大量的請求，超過其處理能力，從而使其無法正常工作或服務受到嚴重影響。

• 邊緣安全加速平臺如何防護CC攻擊？

  CC防護根據訪問者的URL，頻率、行為等訪問特征，智能識別CC攻擊，迅速識別CC攻擊并進行攔截，在大規模CC攻擊時可以避免源站資源耗盡，保證企業網站的正常訪問。

• 如何配置CC防護策略？

  邊緣安全加速平臺—安全與加速服務具備防御CC攻擊能力，提供多種CC防護模式，您可以根據業務實際情況進行選擇，詳細信息，請您參見CC防護。溫馨提示：CC防護策略不適用于API、Native App、websocket類業務，建議將相關匹配條件在【防護規則】中配置例外。

• 如何查看CC攻擊者的IP地址？

  建議您進入邊緣安全加速控制臺，點擊“日志與數據分析”下面的“數據分析”，點擊“域名安全防護分析”。

在邊緣安全加速控制臺變更域名防護配置后多久可以配置完成？

您從控制臺提交配置變更后，系統將自動進行配置修改，整個過程將在10分鐘以內完成，配置下發期間，域名狀態為“配置中”。如您發現域名處于“配置中”狀態超過15分鐘，建議您聯系我們咨詢域名配置修改是否正常完成。

支持接入websocket嗎？

邊緣安全加速平臺支持websocket加速。邊緣安全加速平臺支持對websocket協議和http/https協議同時加速，即同一個域名可以既有http/https協議，又有websocket，您無需拆分域名，使用邊緣安全加速平臺就可以實現對域名下http/https協議的應用和websocket協議的同時服務。

邊緣節點會自動識別客戶端與邊緣節點通信使用的協議，自動切換協議。通常情況下，websocket協議的應用多為動態業務，對實時性要求很高，全站加速的動態探測選路能力可以為websocket應用選擇最快的回源路徑，提升websocket業務的訪問效果。

已接入防護的網站，收到未配置的端口請求是否會透傳回源，對源站帶來安全風險？

安全與加速對外提供流量接入轉發服務，服務集群會按照網站接入時配置的HTTP/HTTPS端口提供對應的端口用于您的網站接入和防護服務。

對于已接入防護服務的網站，服務集群不會轉發接入時未配置的HTTP/HTTPS端口請求流量到源站服務器。因此，不會對源站服務帶來任何安全風險和威脅。

CC攻擊防護攻擊永久模式是什么？

在常規情況下，我們通常將CC防護策略設置為閾值模式。然而，如果您發現閾值模式無法攔截CC攻擊，或者正在遭受大規模CC攻擊，您可以啟用CC永久模式。

CC攻擊永久模式意味著所有訪問請求都會按照請求方式執行相應的防護校驗。永久模式可以高效地攔截CC攻擊，但可能會導致較多的誤攔截。因此，我們建議您可聯系我們，共同解決問題，并根據具體情況制定適合您業務需求的安全策略，以提高網站的安全性和可用性。

出現長連接請求超時如何處理？

如果源站由于某種原因響應慢，超過邊緣安全防護節點回源超時時間設置仍未向邊緣節點返回內容，則會出現504報錯。

出現這種情況時，可先排查源站服務器是否有出現CPU或者帶寬瓶頸，其次源站處理請求的邏輯入手看是否可以優化提升源站的處理速度，如果確認源站已經無法優化響應速度，可通過修改防護節點默認回源超時時長來緩解該問題，具體可聯系我們進行配置。

出現Android客戶端或小程序訪問異常怎么辦？

域名接入邊緣安全加速平臺后如果出現部分客戶端訪問異常的情況，比如PC瀏覽器訪問正常，但是Android版微信訪問域名出現一片空白或者小程序訪問異常，遇到這種情況可通過以下步驟排查：

• 排查HTTPS證書是否有問題

檢查是否為HTTPS協議訪問的域名，如果是請檢查HTTPS證書是否有效，證書失效時要及時更新證書。同時檢查證書鏈是否完整，如果證書鏈不完整，請重新上傳證書鏈完整的證書。

• 判斷請求是否被WAF攔截

如果請求返回403狀態碼，那有可能是被WAF防護引擎攔截了。在邊緣安全加速控制臺，通過日志與數據分析 > 數據分析 > 域名安全防護分析，查看每條攔截請求的攻擊詳細信息，通過日志判斷被攔截的原因，如果確認為誤攔截可添加對應的白名單規則放行。

客戶端不兼容SNI導致訪問異常怎么辦？

SNI（Server Name Indication）是為了解決一個服務器使用多個域名和證書的問題。而對SSL/TLS協議所作的一個擴展，它允許服務器在同一個IP地址和TCP端口下支持多個證書，從而允許多個HTTPS網站使用相同的源站IP和端口。在接入安全與加速服務后，如果您出現部分客戶端HTTPS訪問異常問題，可能是由于有些客戶端版本不支持SNI導致的。當使用不支持SNI的瀏覽器或客戶端訪問接入安全與加速服務的網站時，安全與加速服務防護節點不知道客戶端請求的是哪個域名，所以無法正確得獲取域名對應得證書來跟客戶端通訊交互，此時在瀏覽器上就會出現“服務器證書不可信”的提示。

實際場景中，一般是只有部分舊版的PC瀏覽器和Android客戶端不支持SNI。如果客戶端不支持SNI擴展，建議通過以下方式來解決：

• 建議升級客戶端版本，或使用新版本的瀏覽器訪問，比如使用Chrome、Firefox等新版本的瀏覽器訪問。
• 第三方程序回調的業務場景，如果第三方程序客戶端不支持SNI，可建議讓其直接請求訪問源站IP，繞過安全與加速服務。

Web防護支持的QPS上限是多少？

邊緣安全加速平臺提供的Web防護基于邊緣節點，并且結合智能調度，支持動態調整邊緣節點，無縫擴展QPS 防護能力，可達億級別規模。

并依托天翼云的云安全節點形成云安全網絡，結合云端大數據分析平臺，為用戶提供應對 Web 攻擊、入侵、漏洞利用、掛馬、篡改、后門、爬蟲、域名劫持等網站及 Web 業務安全防護問題，從而保障網站安全。區別于傳統WAF需要在源站前端部署，Web應用防火墻把安全能力賦能在所有邊緣節點。

利用分布式節點部署使計算能力更強，有效降低源站計算壓力，提升了用戶訪問質量的同時保護了源站數據的安全。

CC防護支持的QPS上限是多少？

邊緣安全加速平臺提供的CC防護能力不限制QPS上限。