本文介绍 DDoS 高防服务相关问题。

完成域名备案的域名才可以接入 DDoS 高防进行防护。

当前非网站防护（端口转发）支持 TCP 协议、UDP 协议配置，网站防护（域名接入）支持 HTTP、HTTPS、Websocket、Websockets 协议配置。
配置步骤：

1. 登录DDoS高防控制台。
2. 在页面左侧，选择DDoS高防>接入配置。
3. 在端口转发页或域名接入页选择需要添加配置的实例。
4. 添加转发规则或域名进行接入配置。详见DDoS高防>接入配置文档。

当前每实例包含 60 个防护端口数及 60 个防护域名数配额，可按业务需求进行扩容。每扩容 10 个端口/域名需要扩展计费。

• 黑名单：目前最多支持 200 个IP。
• 白名单：目前最多支持 200 个IP。

当前采用轮询转发方式实现多源站间负载均衡。

每天拥有 5 次自助解封机会，当天超过 5 次后将无法进行解封操作。系统将在每天凌晨 2 点重置自助解封次数，当天未使用的解封次数不会累计到次日。如解封次数用完，建议用户升级防护套餐，可提前解除封禁。

当发生大流量攻击时，除了会影响被攻击对象，整个公网的资产都可能会受到影响。为了避免攻击影响到其他未被攻击的用户，保障整个云平台网络的稳定，需要进行黑洞封禁。

只有当DDoS攻击的峰值带宽超过了资产的 DDoS 的防御能力时，才会发生黑洞封禁。资产防御能力越强，被 DDoS 攻击导致触发黑洞的可能就越低。因此，只有提升资产的 DDoS 防御能力（即黑洞阈值），才能从根本上预防黑洞。

• 如果您的业务通过非网站方式接入 DDoS 高防实例，而且源站非火山引擎云服务器（ECS）或负载均衡（LB）等资源（例如其他云厂商 ECS、线下 IDC 服务器等），源站将无法直接获取真实的请求来源 IP。您可以通过在服务器安装 TOA 模块来获取真实的请求 IP。详情请参考获取非网站业务请求来源 IP。
• 如果您的业务通过网站方式接入 DDoS 高防实例，则访问请求经过 DDoS 高防转发到源站，源站会默认将 DDoS 高防的回源 IP 视为请求来源，而真实的请求来源 IP 被记录在 HTTP 头部的X-Forwarded-For字段中。详情请参考获取网站业务请求来源 IP。