本文中含有需要您注意的重要提示信息,忽略該信息可能對您的業務造成影響,請務必仔細閱讀。
如果您要防護的是非網站業務(例如App),在購買DDoS高防實例后,您需要配置端口轉發規則,然后使用DDoS高防的獨享IP作為您的業務IP實現業務接入,才能正式將業務流量切換到DDoS高防。本文介紹如何快速為非網站業務配置DDoS高防。
背景信息
與網站業務不同,非網站業務配置后只進行四層轉發。因此為非網站業務配置DDoS高防后,DDoS高防只支持四層防護(例如,防護SYN Flood、UDP Flood等),不會去解析七層報文的內容,也不提供基于七層報文的防護(例如,CC攻擊、Web攻擊防護等)。接入非網站業務時,您只需配置DDoS高防實例的端口轉發規則,然后使用DDoS高防的獨享IP作為業務IP即可。
前提條件
已購買DDoS高防(中國內地)實例或DDoS高防(非中國內地)實例。具體操作,請參見購買DDoS高防實例。
步驟一:添加端口轉發規則
業務接入DDoS高防前,您需要先添加端口轉發規則,業務流量會根據您配置的規則進行轉發。
登錄DDoS高防控制臺。
在頂部菜單欄左上角處,選擇地域。
DDoS高防(中國內地):選擇中國內地地域。
DDoS高防(非中國內地):選擇非中國內地地域。
在左側導航欄,選擇。
在端口接入頁面,選擇目標DDoS高防實例,添加端口轉發規則。
添加單條規則
單擊添加規則,完成規則配置后單擊確定。
配置項
說明
轉發協議
轉發協議類型,可選值:TCP、UDP。
轉發端口
DDoS高防實例使用的轉發端口。
說明為了便于管理,建議您將轉發端口與源站端口保持一致。
根據中國國家監管政策要求,為了防止未通過備案的域名業務接入防護,DDoS高防不支持80、8080、443、8443端口接入配置。關于上述接口的防護,建議您使用域名接入。更多信息,請參見添加網站配置。
為了防止私自搭建DNS防護服務器,DDoS高防不支持53端口接入配置。
同一DDoS高防實例和轉發協議下,每條規則的轉發端口必須唯一。當您嘗試添加同協議+同轉發端口的規則時,系統將提示規則沖突。
請避免與通過網站配置自動生成的規則沖突。
源站端口
源站使用的業務端口。
源站IP
源站的IP地址。
說明支持添加多個源站IP以實現自動負載均衡。多個IP間以半角逗號(,)分隔。最多可配置20個源站IP。
批量添加規則
在頁面下方,單擊。
在添加規則對話框,按照格式要求填入要添加的規則配置,并單擊確定。
每行對應一條規則,每條規則包含四個字段,從左到右依次是協議、轉發端口、源站端口、源站IP,字段間以空格分隔。
在添加規則對話框,選中要上傳的規則,并單擊上傳。
步驟二:將業務接入DDoS高防
端口轉發規則創建完成后,您還需要將要防護的實際業務IP替換為DDoS高防的獨享IP,才能正式將業務流量切換到DDoS高防。完成切換后,業務流量會先經過DDoS高防清洗,再轉發到源站服務器。
在源站服務器上設置放行DDoS高防的回源IP,避免DDoS高防轉發回源站的流量被源站服務器上的安全軟件攔截。具體操作,請參見放行DDoS高防回源IP。
通過本地計算機驗證規則配置已經生效,避免規則配置不正確導致業務異常。具體操作,請參見本地驗證轉發配置生效。
警告如果規則未生效就執行業務切換,將可能導致業務中斷。
將非網站業務的業務流量切換到DDoS高防實例。
通常您只需將業務IP替換為DDoS高防實例的獨享IP,即可正式將業務流量切換至DDoS高防實例,具體操作請以業務開發平臺實際情況為準。
說明如果您的業務同時使用域名來指定服務器地址(例如,游戲客戶端中設置example.com域名作為服務器地址,或該域名已經寫在客戶端程序中),您無需配置域名接入,但需要在域名的DNS解析服務提供商處修改DNS解析,將該域名的A記錄指向DDoS高防實例的獨享IP。具體操作,請參見修改DNS解析。
在某些場景下,您可能需要用域名來接入四層業務,并實現業務關聯多高防IP且多高防IP間自動切換流量。這種情況下,推薦您通過添加域名并修改CNAME解析來接入非網站業務。具體操作,請參見CNAME解析接入非網站業務。
步驟三:設置端口轉發和防護策略
完成業務流量切換后,DDoS高防使用默認策略幫助您清洗和轉發流量。您可以根據業務需要,自定義DDoS防護策略和開啟會話保持、健康檢查,優化DDoS高防的轉發功能。
在端口接入頁面,選擇目標DDoS高防實例后,定位到目標轉發規則,根據業務需要進行如下配置。
配置項 | 說明 |
會話保持 | 如果您的非網站業務接入DDoS高防后存在登錄超時需要重新登錄、上傳數據斷開等問題,您可以開啟會話保持功能。會話保持可以在指定的時間范圍內將同一客戶端的請求轉發至同一臺后端服務器上。
|
健康檢查 | 適用于業務有多個源站IP時,判斷源站服務器的業務可用性,在轉發客戶端請求時避開異常服務器。
|
DDoS 防護策略 | 開啟DDoS防護策略,可以對接入DDoS高防的非網站業務的連接速度、包長度等參數進行限制,緩解小流量的連接型攻擊。
|
步驟四:查看端口防護數據
非網站業務接入DDoS高防后,您可以在DDoS高防的安全總覽頁面查看端口流量轉發數據。
在左側導航欄,單擊安全總覽。
單擊實例頁簽,設置要查詢的實例和時間范圍,查看相關信息。
功能名稱
說明
帶寬(圖示①)
DDoS高防(中國內地):提供帶寬趨勢圖,以bps或者pps展示指定時間段內實例上的入流量、出流量、攻擊流量、限速流量趨勢。
DDoS高防(非中國內地):提供三個頁簽,分別是總覽(與帶寬趨勢圖相同)、入方向分布(入方向流量的分布信息)、出方向分布(出方向流量的分布信息)。
連接數(圖示②)
并發連接數:客戶端同一時間與DDoS高防建立的TCP連接數量。
活躍連接數:當前所有狀態為Established的TCP連接數量。
非活躍連接數:當前除了Established狀態以外,所有其他狀態的TCP連接數量。
新建連接數:客戶端每秒內新增的與DDoS高防通信的TCP連接數。
網絡層攻擊事件、規格超限告警、目的限速事件(圖示③)
網絡層攻擊事件:
將光標放置在被攻擊的IP或端口上,可以查看被攻擊的IP和端口信息、攻擊的類型和峰值、防護結果。
規格超限告警:
事件類型包含業務帶寬、新建連接數和并發連接數。當事件類型對應規格超過購買的規格時會進行提示,對當前業務無影響,建議擴容升級。具體操作,請參見升級實例。
您可以單擊狀態列的詳情跳轉到系統日志頁面,查看詳細信息。
說明超限告警數據的更新時間為每周一的10:00(GMT+8),更新后的數據為前一天的規格超限告警數據。如果您配置了站內信、短信或郵件通知,您也將會在每周一的10:00(GMT+8)收到對應通知,且數據為前一天的規格超限告警數據。
目的限速事件
當業務的新建連接數、并發連接數或業務帶寬等遠超實例規格時,會觸發對應的限速策略,對業務產生影響,產生目的限速事件。
您可以單擊狀態列的詳情跳轉到系統日志頁面,查看詳細信息。
正常業務地區分布、正常業務運營商分布(圖示④)
正常業務地區分布:正常業務流量的來源地區分布。
正常業務運營商分布:正常業務流量的運營商分布。