前提條件

已購買DDoS高防（中國內地）實例或DDoS高防（非中國內地）實例。具體操作，請參見購買DDoS高防實例。

步驟一：添加網站配置

使用DDoS高防防護網站業務時，您必須首先在DDoS高防實例中添加要防護的域名，設置業務流量的轉發策略。

1. 登錄DDoS高防控制臺。

2. 在頂部菜單欄左上角處，選擇地域。

   • DDoS高防（中國內地）：選擇中國內地地域。

   • DDoS高防（非中國內地）：選擇非中國內地地域。

3. 在左側導航欄，選擇接入管理 > 域名接入。

4. 在域名接入頁面，單擊添加網站。

   說明

   您也可以在頁面最下方單擊批量導入，批量導入網站配置。網站配置采用XML文件格式傳入，關于文件格式的詳細介紹，請參見網站配置XML格式說明。

   1. 填寫網站接入信息，然后單擊下一步。

      配置項	說明
      功能套餐	選擇要關聯的DDoS高防實例的功能套餐?？蛇x項：標準功能、增強功能。 說明 將光標放置在功能套餐后的圖標上，查看標準功能和增強功能套餐的功能差異。更多信息，請參見DDoS高防（中國內地&非中國內地）功能套餐。
      實例	選擇要關聯的DDoS高防實例。 一個網站域名最多可以關聯8個DDoS高防實例，且只能關聯同一種功能套餐下的實例。
      網站	填寫要防護的網站域名。具體要求如下： 域名可以由英文字母（a~z、A~Z，不區分大小寫）、數字（0~9）以及短劃線（-）組成。域名的首位必須是字母或數字。 支持填寫泛域名，例如，*.aliyundoc.com。使用泛域名時，DDoS高防自動匹配該泛域名對應的子域名。 如果同時存在泛域名和精確域名配置（例如，*.aliyundoc.com和www.aliyundoc.com），DDoS高防優先使用精確域名（即www.aliyundoc.com）所配置的轉發規則和防護策略。 說明 如果您填寫的是一級域名，DDoS高防僅防護您的一級域名，不支持對二級域名等子域名進行防護。如果您要防護二級域名，請輸入二級域名或者泛域名。
      協議類型	選擇網站支持的協議類型。可選項： HTTP HTTPS：網站支持HTTPS加密認證時，請選中HTTPS協議。并在完成網站配置后上傳網站域名使用的HTTPS證書。關于上傳證書的操作，請參見上傳HTTPS證書。您還可以為網站自定義TLS安全策略。具體操作，請參見自定義TLS安全策略。 選中HTTPS協議后，可以根據需要開啟以下高級設置。 開啟HTTPS的強制跳轉：適用于網站同時支持HTTP和HTTPS協議。開啟該設置后，所有HTTP請求將被強制轉換為HTTPS請求，且默認跳轉到443端口。 重要 只有同時選中HTTP和HTTP協議，并且沒有選中Websocket協議時，才可以開啟該設置。 HTTP非標準端口（80以外的端口）訪問的場景下，如果開啟了HTTPS強制跳轉，則訪問默認跳轉到HTTPS 443端口。 開啟HTTP回源：如果網站不支持HTTPS回源，請務必開啟該設置。開啟該設置后，所有HTTPS協議請求將通過HTTP協議回源、所有Websockets協議請求將通過Websocket協議回源，且默認回源端口為80。 重要 HTTPS非標準端口（443以外的端口）訪問的場景下，如果開啟了HTTP回源，則訪問默認跳轉到源站HTTP 80端口。 啟用HTTP2：開關開啟表示允許HTTP 2.0協議客戶端接入高防，但此時DDoS高防仍使用HTTP 1.1回源到源站。 HTTP 2.0功能規格說明 連接關閉后的不活動超時時間（http2_idle_timeout）：120s 單連接最大請求數（http2_max_requests）：1000 單連接最大并發流（http2_max_concurrent_streams）：4 HPACK 解壓縮后整個請求頭列表的最大值（http2_max_header_size）：256K HPACK 壓縮的請求頭字段的最大值（http2_max_field_size）：64K Websocket：選中該協議將自動同時選中HTTP協議，不支持單獨選中Websocket協議。 Websockets：選中該協議將自動同時選中HTTPS協議，不支持單獨選中Websockets協議。
      服務器地址	選擇源站服務器的地址類型，并填寫源站服務器的地址。支持的地址類型包括： 源站IP：表示源站服務器的IP地址。最多支持配置20個源站IP地址，多個IP地址間使用半角逗號（,）分隔。 如果源站在阿里云，一般填寫源站ECS的公網IP地址；如果ECS前面部署了SLB，則填寫SLB的公網IP地址。 如果源站在阿里云外的IDC機房或者其他云服務商，您可以使用ping 域名命令，查詢域名解析到的公網IP地址，并填寫獲取的公網IP。 源站域名：通常適用于源站和高防之間還部署有其他代理服務（例如，Web 應用防火墻 WAF（Web Application Firewall））的場景，表示代理服務的跳轉地址。最多支持配置10個源站域名，多個域名間通過換行分隔。 例如，您在部署DDoS高防實例后還需要部署WAF，以提升應用安全防護能力，您可以選擇源站域名，并填寫WAF的CNAME地址。更多信息，請參見通過聯合部署DDoS高防和WAF提升網站防護能力。 重要 如果您設置的源站域名為OSS存儲空間（Bucket）的默認外網訪問域名，則對應存儲空間必須已綁定自定義域名。更多信息，請參見綁定自定義域名。 配置多個服務器地址（源站IP、源站域名）后，DDoS高防默認以IP Hash的方式轉發網站訪問流量至源站，自動實現負載均衡。保存網站配置后，您可以通過回源設置，修改源站負載算法。具體操作，請參見修改回源設置。
      服務器端口	根據協議類型，設置源站提供對應服務的端口。 HTTP協議、Websocket協議的端口默認為80。 HTTPS協議、HTTP2協議、Websockets協議的端口默認為443。 您可以單擊自定義，自定義服務器端口，多個端口間使用半角逗號（,）分隔，具體限制如下。 自定義端口必須在可選端口范圍內。 標準功能實例： HTTP協議可選端口：80、8080。 HTTPS協議可選端口：443、8443。 增強功能實例： HTTP協議可選端口范圍：80~65535。 HTTPS協議可選端口范圍：80~65535。 所有接入DDoS高防實例防護的網站業務下自定義的不同端口（包含不同協議下的自定義端口）的總數不能超過10個。 例如，您有2個網站（A和B），網站A提供HTTP服務、網站B提供HTTPS服務。如果網站A的接入配置中自定義了HTTP 80、8080端口，那么在網站B的接入配置中，最多可以自定義8個不同的HTTPS端口。
      Cname Reuse	僅DDoS高防（非中國內地）支持配置該參數。選擇是否開啟CNAME復用。 該功能適用于同一臺服務器上有多個網站業務的場景。開啟CNAME復用后，您只需將同一個服務器上多個域名的解析指向同一個高防CNAME地址，即可將多個域名接入高防，無需為每個域名分別添加高防網站配置。更多信息，請參見CNAME復用。

   2. 填寫轉發配置，然后單擊下一步。

      配置項	說明
      啟用OCSP Stapling	選擇是否啟用OCSP Stapling功能。 重要 該功能適用于網站HTTPS業務。如果您已選擇的協議類型包含HTTPS，推薦啟用該功能。 OCSP表示在線證書狀態協議，該協議用于向簽發證書的CA（Certificate Authority）中心發起查詢請求，檢查證書是否被吊銷。在與服務器進行TLS握手時，客戶端必須同時獲取證書和對應的OCSP響應。 未啟用（默認）：表示由客戶端瀏覽器向CA中心發起OCSP查詢。該方式會導致客戶端在獲得OCSP響應前阻塞后續的事件，在網絡情況不佳時，將造成較長時間的頁面空白，降低HTTPS的性能。 啟用：表示由DDoS高防來執行OCSP查詢并緩存查詢結果（緩存時間為3600秒）。當有客戶端向服務器發起TLS握手請求時，DDoS高防將證書的OCSP信息隨證書鏈一起發送給客戶端，從而避免了客戶端查詢會產生的阻塞問題。由于OCSP響應是無法偽造的，因此這一過程不會產生額外的安全問題。
      流量標記	獲取客戶端真實源端口 打開該開關后，高防在代理網站流量時，默認使用X-Forwarded-ClientSrcPort字段記錄真實的客戶端源端口。您可以從高防轉發到源站的請求中解析X-Forwarded-ClientSrcPort字段，獲取客戶端使用的真實端口。具體操作與獲取客戶端真實請求IP類似，更多信息，請參見配置DDoS高防后獲取真實的請求來源IP。 其他自定義Header 添加自定義Header字段后，高防在代理網站流量時，會在轉發到源站的請求中添加對應的字段值，方便您后端的服務進行統計分析。 添加自定義Header注意事項： 請不要使用以下默認字段作為自定義Header： X-Forwarded-ClientSrcPort：默認被用于獲取訪問高防七層引擎的客戶端端口。 X-Forwarded-ProxyPort：默認被用于獲取訪問高防七層引擎的監聽端口。 請不要使用標準HTTP頭部字段（例如，user-agent等），否則會導致請求原始頭部字段的內容被改寫。 最多支持添加5個自定義Header。
      回源負載算法	有多個源站服務器地址（源站IP或源站域名）時需要配置。您可以修改回源負載均衡算法或者為不同服務器設置權重。
      其他設置	設置新建連接超時時間：DDoS高防嘗試建立到源站的連接時，超過該時間連接未建立完成，會被認定為失敗。支持設置為1~10秒。 設置讀連接超時時間：DDoS高防成功建立連接并向源站發出讀取數據請求之后，等待源站返回響應數據的最長時間。支持設置為10~300秒。 設置寫連接超時時間：數據從DDoS高防發送出去之后，并由源站開始處理之前，DDoS高防等待的時間長度。超過這段時間，如果DDoS高防還沒有成功地將所有數據發送給源站，或者源站沒有開始處理數據，會被認定為失敗。支持設置為10~300秒。 回源重試：當DDoS高防請求的資源在緩存服務器上沒有命中時，緩存服務器將嘗試從上一級緩存服務器或源站重新獲取該資源。 回源長連接：在緩存服務器與源站之間，使TCP連接在一段時間內保持活躍，而不是每完成一次請求就關閉。開啟后可以減少建立連接的時間和資源消耗，提高請求處理的效率與速度。 復用長連接的請求個數：在DDoS高防向源站建立的一個TCP連接中，支持發送的HTTP請求個數，可以減少因頻繁建立和關閉連接所帶來的延遲和資源消耗。支持設置為10~1000。建議小于等于后端源站（如：WAF、SLB）上配置的長連接請求復用個數，以免長連接關閉造成業務無法訪問。 空閑長連接超時時間：DDoS高防向源站建立的一個TCP長連接，在沒有數據傳輸之后，在高防的連接池保持開啟狀態的最長時間。這個時間段內如果沒有新的請求，該連接將被關閉，以釋放系統資源。支持設置為10~30秒。建議小于等于后端源站（如：WAF、SLB）上配置的超時時長，以免長連接關閉造成業務無法訪問。

步驟二：將網站業務流量切換到DDoS高防

網站的訪問流量需要先經過DDoS高防清洗再轉發到源站服務器，實現由DDoS高防實例幫助網站防御DDoS攻擊流量。

1. 在源站服務器上放行DDoS高防回源IP。

   如果源站服務器上安裝了防火墻等安全軟件，您需要在源站放行DDoS高防回源IP，避免由高防轉發回源站的流量被誤攔截。具體操作，請參見放行DDoS高防回源IP

2. 在本地驗證轉發配置是否生效。具體操作，請參見本地驗證轉發配置生效。

   警告

   如果轉發配置未生效就執行業務切換，將可能導致業務中斷。

3. 修改DNS解析將業務流量切換到DDoS高防。

   添加網站配置后，DDoS高防為網站分配一個CNAME地址，您必須將網站域名的DNS解析指向高防CNAME地址，才可以正式將業務流量切換到高防實例進行防護。具體操作，請參見使用CNAME或IP將網站域名解析到DDoS高防。

步驟三：設置網站業務防護策略

DDoS高防默認為接入防護的網站開啟了DDoS全局防護策略、AI智能防護和頻率控制防護功能，您可以在網站業務DDoS防護頁簽，為網站開啟更多的防護功能或修改防護功能的規則。

1. 在左側導航欄，選擇接入管理 > 域名接入。

2. 在域名接入頁面，定位到目標域名，單擊操作列的防護設置。

3. 在網站業務DDoS防護頁簽下，根據需要為目標域名設置DDoS防護策略。

   配置項	說明
   AI智能防護	默認開啟，由智能大數據分析引擎自學習業務流量基線，發現并阻斷新型CC攻擊，在流量異常時，基于歷史流量分布，動態調整各執行模塊策略阻斷異常請求。支持手動修改防護模式和等級。更多信息，請參見設置AI智能防護。
   DDoS全局防護策略	默認開啟，DDoS防護引擎根據流量清洗力度，為接入高防防護的網站業務提供三套內置的全局防護策略，幫助業務在攻擊發生的瞬間快速應對脈沖式攻擊，提高響應及時性。更多信息，請參見設置DDoS全局防護策略。
   黑／白名單（針對域名）	開啟針對域名的訪問源IP黑白名單后，黑名單IP/IP段對域名的訪問請求將會被直接阻斷，白名單IP/IP段對域名的訪問請求將被直接放行，且不經過任何防護策略過濾。更多信息，請參見設置黑白名單（針對域名）。
   區域封禁（針對域名）	一鍵阻斷來自指定地區來源IP的所有網站訪問請求。更多信息，請參見設置區域封禁（針對域名）。
   精準訪問控制	使用常見的HTTP字段（例如IP、URL、Referer、UA、參數等）設置匹配條件，用來篩選訪問請求，并對命中條件的請求設置放行、封禁、挑戰操作。更多信息，請參見設置CC安全防護。
   頻率控制	默認開啟，限制單一源IP對網站的訪問頻率。頻率控制開啟后自動生效，且默認使用正常防護模式，幫助網站防御一般的CC攻擊。支持手動調整防護模式和自定義訪問頻率控制規則。更多信息，請參見設置頻率控制。

步驟四：查看網站業務防護數據

網站業務接入DDoS高防后，您可以在DDoS高防控制臺使用安全報表和日志功能查看業務防護數據。

1. 在安全總覽頁面，查看實例和域名的業務數據以及遭受的DDoS攻擊詳情。更多信息，請參見安全總覽。

2. 在操作日志頁面，查看重要操作記錄。更多信息，請參見操作日志。

3. 在全量日志分析頁面，查看網站業務的日志。更多信息，請參見快速使用全量日志分析。

   說明

   DDoS高防全量日志分析是增值服務，需要單獨開通并啟用。開通全量日志分析后，阿里云日志服務將對接DDoS高防的網站訪問日志和CC攻擊日志，并對采集到的日志數據進行實時檢索與分析，以儀表盤形式向您展示查詢結果。更多信息，請參見什么是日志服務。

相關文檔

• 業務接入高防后存在卡頓、延遲、訪問不通等問題

• 配置DDoS高防后訪問網站提示504錯誤

• 配置DDoS高防后訪問網站提示502錯誤

• 配置DDoS高防后訪問業務緩慢