安全与加速服务中，访问链路是如何的？

如示意图所示，流量访问流程主要分为以下几个步骤：

1. 边缘安全加速平台是将安全能力赋能在所有边缘节点，用户的访问通过智能负载均衡系统就近接入边缘节点。
2. 边缘节点会解析访问请求报文，根据防护规则判断访问请求是否为恶意请求。
3. 如果是恶意请求，边缘节点会根据客户配置的策略进行处理，比如阻断请求直接响应拦截信息给请求客户端。
4. 如果是正常业务请求，边缘节点会通过加速网络，进行缓存、动态选路等相关处置，最终将请求转发到客户源站，其中对于请求客户端来讲源站服务器是隐身的。

上传HTTPS证书时提示上传失败是什么原因？

边缘安全加速平台支持上传客户自有的HTTPS证书，一般证书上传失败主要有以下几种原因：

• 证书格式错误

当前只支持PEM格式的证书上传，上传证书失败往往是证书格式错误的原因，请仔细核对证书格式再重新上传。

PEM格式证书文件示例：

PEM格式证书私钥示例：

• 证书与密钥不匹配

请检查证书的证书文件私钥文件的MD5值是否相同，如果MD5值不同则表明证书文件和私钥文件内容不匹配。

您可以执行openssl x509 -noout -modulus -in <文件>|openssl md5命令，分别查看证书文件和私钥文件的MD5值，如果MD5值不同请检查证书内容确认MD5一致后在重新上传。

安全与加速服务是否支持泛域名?

• 什么是泛域名？

泛域名加速是指通过配置泛域名规则，实现在一个域名下，进行多个子域名的服务。这样可以统一管理多个子域名，一次性实现网站多个子域名安全与加速服务。假如您在边缘安全加速控制台上配置了一个泛域名 *.ctyun.cn，那么该泛域名包含的二级子域名，例如assets.ctyun.cn与images.ctyun.cn等，都将实现安全与加速服务。

• 如何新增泛域名？
  首先，需要登录边缘安全加速控制台，其次需要添加服务域名。

安全与加速服务是否会解密HTTPS流量并记录请求内容？

安全与加速服务在防护HTTPS业务时，需要您上传网站对应的HTTPS证书用于解密HTTPS流量，通过检测解密后的流量来判断请求是否符合攻击特征。

安全与加速服务使用您上传的HTTPS证书解密业务流量只是用于实时监测，只会记录带有攻击特征的一部分请求信息，用于安全与加速服务控制台报表展示和攻击日志查询等功能。

如何确认域名CNAME解析是否正常？

Windows PC客户端：同时按住Windows+R键，输入cmd，敲回车以打开命令提示符窗口，输入命令“nslookup 域名”，查看返回的结果中是否显示正确的CNAME信息。

MAC OS 或者 Linux 客户端：打开终端工具，输入命令“dig 域名”，查看返回的结果中是否显示正确的的CNAME信息。

多个域名是否可以使用同一源站IP地址？

多个域名可以使用同一源站IP地址。但需要注意，如果多个域名回同一个源站IP地址时，源站需要考虑承载能力，特别是业务有突发场景时，单IP源站可能有崩溃风险。因此建议使用多个源IP，可按承载能力分配权重，或配置主备策略。边缘安全加速平台支持丰富的回源策略，支持客户自定义源站。例如，支持IP或域名，支持配置多个源站地址，多源站场景下，支持设置源站的主备优先级和权重，实现负载均衡。回源配置说明详情请见：源站配置。

如何获取安全与加速服务的回源IP或IP段？

您可以联系我们 申请开通回源IP通知邮件，需提供信息如下：

• 账号名称
• 接收邮箱
• 协议类型：IPv4/IPv6
• 数据格式：IP 或 IP段

开通完成后，回源IP信息将会以邮件的方式同步。

源站域名可以和加速域名一致吗？

源站域名和安全与加速服务域名不能一致。原因是：用户访问安全与加速服务域名的网站资源，当边缘云节点上没有缓存对应的内容时，边缘云节点会回到源站获取，然后再返回给用户。如果源站域名与加速域名一致，将会造成访问请求回环到边缘云节点，导致边缘云节点无法拉取到正常内容。

边缘安全加速平台-安全与加速服务产品支持将IP或域名设置为源站，如设置的源站为域名形式，请确保源站域名非加速域名。

安全与加速服务如何防御CC攻击？

• 什么是CC攻击？

  CC攻击是一种恶意网络攻击，旨在通过向目标服务器发送大量的请求，超过其处理能力，从而使其无法正常工作或服务受到严重影响。

• 边缘安全加速平台如何防护CC攻击？

  CC防护根据访问者的URL，频率、行为等访问特征，智能识别CC攻击，迅速识别CC攻击并进行拦截，在大规模CC攻击时可以避免源站资源耗尽，保证企业网站的正常访问。

• 如何配置CC防护策略？

  边缘安全加速平台—安全与加速服务具备防御CC攻击能力，提供多种CC防护模式，您可以根据业务实际情况进行选择，详细信息，请您参见CC防护。温馨提示：CC防护策略不适用于API、Native App、websocket类业务，建议将相关匹配条件在【防护规则】中配置例外。

• 如何查看CC攻击者的IP地址？

  建议您进入边缘安全加速控制台，点击“日志与数据分析”下面的“数据分析”，点击“域名安全防护分析”。

在边缘安全加速控制台变更域名防护配置后多久可以配置完成？

您从控制台提交配置变更后，系统将自动进行配置修改，整个过程将在10分钟以内完成，配置下发期间，域名状态为“配置中”。如您发现域名处于“配置中”状态超过15分钟，建议您联系我们咨询域名配置修改是否正常完成。

支持接入websocket吗？

边缘安全加速平台支持websocket加速。边缘安全加速平台支持对websocket协议和http/https协议同时加速，即同一个域名可以既有http/https协议，又有websocket，您无需拆分域名，使用边缘安全加速平台就可以实现对域名下http/https协议的应用和websocket协议的同时服务。

边缘节点会自动识别客户端与边缘节点通信使用的协议，自动切换协议。通常情况下，websocket协议的应用多为动态业务，对实时性要求很高，全站加速的动态探测选路能力可以为websocket应用选择最快的回源路径，提升websocket业务的访问效果。

已接入防护的网站，收到未配置的端口请求是否会透传回源，对源站带来安全风险？

安全与加速对外提供流量接入转发服务，服务集群会按照网站接入时配置的HTTP/HTTPS端口提供对应的端口用于您的网站接入和防护服务。

对于已接入防护服务的网站，服务集群不会转发接入时未配置的HTTP/HTTPS端口请求流量到源站服务器。因此，不会对源站服务带来任何安全风险和威胁。

CC攻击防护攻击永久模式是什么？

在常规情况下，我们通常将CC防护策略设置为阈值模式。然而，如果您发现阈值模式无法拦截CC攻击，或者正在遭受大规模CC攻击，您可以启用CC永久模式。

CC攻击永久模式意味着所有访问请求都会按照请求方式执行相应的防护校验。永久模式可以高效地拦截CC攻击，但可能会导致较多的误拦截。因此，我们建议您可联系我们，共同解决问题，并根据具体情况制定适合您业务需求的安全策略，以提高网站的安全性和可用性。

出现长连接请求超时如何处理？

如果源站由于某种原因响应慢，超过边缘安全防护节点回源超时时间设置仍未向边缘节点返回内容，则会出现504报错。

出现这种情况时，可先排查源站服务器是否有出现CPU或者带宽瓶颈，其次源站处理请求的逻辑入手看是否可以优化提升源站的处理速度，如果确认源站已经无法优化响应速度，可通过修改防护节点默认回源超时时长来缓解该问题，具体可联系我们进行配置。

出现Android客户端或小程序访问异常怎么办？

域名接入边缘安全加速平台后如果出现部分客户端访问异常的情况，比如PC浏览器访问正常，但是Android版微信访问域名出现一片空白或者小程序访问异常，遇到这种情况可通过以下步骤排查：

• 排查HTTPS证书是否有问题

检查是否为HTTPS协议访问的域名，如果是请检查HTTPS证书是否有效，证书失效时要及时更新证书。同时检查证书链是否完整，如果证书链不完整，请重新上传证书链完整的证书。

• 判断请求是否被WAF拦截

如果请求返回403状态码，那有可能是被WAF防护引擎拦截了。在边缘安全加速控制台，通过日志与数据分析 > 数据分析 > 域名安全防护分析，查看每条拦截请求的攻击详细信息，通过日志判断被拦截的原因，如果确认为误拦截可添加对应的白名单规则放行。

客户端不兼容SNI导致访问异常怎么办？

SNI（Server Name Indication）是为了解决一个服务器使用多个域名和证书的问题。而对SSL/TLS协议所作的一个扩展，它允许服务器在同一个IP地址和TCP端口下支持多个证书，从而允许多个HTTPS网站使用相同的源站IP和端口。在接入安全与加速服务后，如果您出现部分客户端HTTPS访问异常问题，可能是由于有些客户端版本不支持SNI导致的。当使用不支持SNI的浏览器或客户端访问接入安全与加速服务的网站时，安全与加速服务防护节点不知道客户端请求的是哪个域名，所以无法正确得获取域名对应得证书来跟客户端通讯交互，此时在浏览器上就会出现“服务器证书不可信”的提示。

实际场景中，一般是只有部分旧版的PC浏览器和Android客户端不支持SNI。如果客户端不支持SNI扩展，建议通过以下方式来解决：

• 建议升级客户端版本，或使用新版本的浏览器访问，比如使用Chrome、Firefox等新版本的浏览器访问。
• 第三方程序回调的业务场景，如果第三方程序客户端不支持SNI，可建议让其直接请求访问源站IP，绕过安全与加速服务。

Web防护支持的QPS上限是多少？

边缘安全加速平台提供的Web防护基于边缘节点，并且结合智能调度，支持动态调整边缘节点，无缝扩展QPS 防护能力，可达亿级别规模。

并依托天翼云的云安全节点形成云安全网络，结合云端大数据分析平台，为用户提供应对 Web 攻击、入侵、漏洞利用、挂马、篡改、后门、爬虫、域名劫持等网站及 Web 业务安全防护问题，从而保障网站安全。区别于传统WAF需要在源站前端部署，Web应用防火墙把安全能力赋能在所有边缘节点。

利用分布式节点部署使计算能力更强，有效降低源站计算压力，提升了用户访问质量的同时保护了源站数据的安全。

CC防护支持的QPS上限是多少？

边缘安全加速平台提供的CC防护能力不限制QPS上限。