本文中含有需要您注意的重要提示信息,忽略該信息可能對您的業務造成影響,請務必仔細閱讀。
將網站域名配置到DDoS高防后,DDoS高防會為網站生成一個CNAME地址,您需要將網站域名的DNS解析指向高防CNAME地址,DDoS高防才能轉發業務流量為網站防御DDoS攻擊。本文介紹如何添加網站配置。
注意事項
接入DDoS高防(中國內地)的網站必須經過ICP備案,接入DDoS高防(非中國內地)的網站沒有ICP備案的限制。
DDoS高防(中國內地)會定期查詢已接入防護的網站域名的備案狀態,備案失效時DDoS高防(中國內地)會停止相關業務的流量轉發,并在域名接入頁面提示“域名未履行ICP備案,請您及時更新備案狀態”。出現提示時,如果您需要恢復業務流量轉發,必須及時更新域名的備案狀態。
如果您的高防回源站點為阿里云產品時,需要同時滿足高防及回源產品的備案要求,否則將影響回源流量轉發,具體請查看各云產品的官網文檔或咨詢技術支持人員。例如源站服務器是ECS時,您需要為ECS開通ICP備案,具體請參見ICP備案服務器(接入信息)檢查和ICP備案全流程。
您同賬號下所有高防實例釋放一個月后,高防會自動清空該賬號下所有高防的域名及端口轉發配置。如果您有多個高防實例,以最后一個實例釋放時間開始計算。
前提條件
已購買DDoS高防(中國內地)實例或DDoS高防(非中國內地)實例。具體操作,請參見購買DDoS高防實例。
如果網站業務要接入DDoS高防(中國內地)實例,網站域名必須已經完成ICP備案。更多信息,請參見ICP備案全流程。
添加網站配置
登錄DDoS高防控制臺。
在頂部菜單欄左上角處,選擇地域。
DDoS高防(中國內地):選擇中國內地地域。
DDoS高防(非中國內地):選擇非中國內地地域。
在左側導航欄,選擇
。在域名接入頁面,單擊添加網站。
說明您也可以在頁面最下方單擊批量導入,批量導入網站配置。網站配置采用XML文件格式傳入,關于文件格式的詳細介紹,請參見網站配置XML格式說明。
填寫網站接入信息,然后單擊下一步。
配置項
說明
功能套餐
選擇要關聯的DDoS高防實例的功能套餐??蛇x項:標準功能、增強功能。
說明將光標放置在功能套餐后的圖標上,查看標準功能和增強功能套餐的功能差異。更多信息,請參見DDoS高防(中國內地&非中國內地)功能套餐。
實例
選擇要關聯的DDoS高防實例。
一個網站域名最多可以關聯8個DDoS高防實例,且只能關聯同一種功能套餐下的實例。
網站
填寫要防護的網站域名。具體要求如下:
域名可以由英文字母(a~z、A~Z,不區分大小寫)、數字(0~9)以及短劃線(-)組成。域名的首位必須是字母或數字。
支持填寫泛域名,例如,
*.aliyundoc.com
。使用泛域名時,DDoS高防自動匹配該泛域名對應的子域名。如果同時存在泛域名和精確域名配置(例如,
*.aliyundoc.com
和www.aliyundoc.com
),DDoS高防優先使用精確域名(即www.aliyundoc.com
)所配置的轉發規則和防護策略。
說明如果您填寫的是一級域名,DDoS高防僅防護您的一級域名,不支持對二級域名等子域名進行防護。如果您要防護二級域名,請輸入二級域名或者泛域名。
僅支持配置為域名,不支持填寫網站IP。
協議類型
選擇網站支持的協議類型??蛇x項:
HTTP
HTTPS:網站支持HTTPS加密認證時,請選中HTTPS協議。并在完成網站配置后上傳網站域名使用的HTTPS證書。關于上傳證書的操作,請參見上傳HTTPS證書。您還可以為網站自定義TLS安全策略。具體操作,請參見自定義TLS安全策略。
選中HTTPS協議后,可以根據需要開啟以下高級設置。
開啟HTTPS的強制跳轉:適用于網站同時支持HTTP和HTTPS協議。開啟該設置后,所有HTTP請求將被強制轉換為HTTPS請求,且默認跳轉到443端口。
重要只有同時選中HTTP和HTTP協議,并且沒有選中Websocket協議時,才可以開啟該設置。
HTTP非標準端口(80以外的端口)訪問的場景下,如果開啟了HTTPS強制跳轉,則訪問默認跳轉到HTTPS 443端口。
開啟HTTP回源:如果網站不支持HTTPS回源,請務必開啟該設置。開啟該設置后,所有HTTPS協議請求將通過HTTP協議回源、所有Websockets協議請求將通過Websocket協議回源,且默認回源端口為80。
重要HTTPS非標準端口(443以外的端口)訪問的場景下,如果開啟了HTTP回源,則訪問默認跳轉到源站HTTP 80端口。
啟用HTTP2:開關開啟表示允許HTTP 2.0協議客戶端接入高防,但此時DDoS高防仍使用HTTP 1.1回源到源站。
連接關閉后的不活動超時時間(http2_idle_timeout):120s
單連接最大請求數(http2_max_requests):1000
單連接最大并發流(http2_max_concurrent_streams):4
HPACK 解壓縮后整個請求頭列表的最大值(http2_max_header_size):256K
HPACK 壓縮的請求頭字段的最大值(http2_max_field_size):64K
Websocket:選中該協議將自動同時選中HTTP協議,不支持單獨選中Websocket協議。
Websockets:選中該協議將自動同時選中HTTPS協議,不支持單獨選中Websockets協議。
服務器地址
選擇源站服務器的地址類型,并填寫源站服務器的地址。支持的地址類型包括:
源站IP:表示源站服務器的IP地址。最多支持配置20個源站IP地址,多個IP地址間使用半角逗號(,)分隔。
如果源站在阿里云,一般填寫源站ECS的公網IP地址;如果ECS前面部署了SLB,則填寫SLB的公網IP地址。
如果源站在阿里云外的IDC機房或者其他云服務商,您可以使用
ping 域名
命令,查詢域名解析到的公網IP地址,并填寫獲取的公網IP。
源站域名:通常適用于源站和高防之間還部署有其他代理服務(例如,Web 應用防火墻 WAF(Web Application Firewall))的場景,表示代理服務的跳轉地址。最多支持配置10個源站域名,多個域名間通過換行分隔。
例如,您在部署DDoS高防實例后還需要部署WAF,以提升應用安全防護能力,您可以選擇源站域名,并填寫WAF的CNAME地址。更多信息,請參見通過聯合部署DDoS高防和WAF提升網站防護能力。
配置多個服務器地址(源站IP、源站域名)后,DDoS高防默認以IP Hash的方式轉發網站訪問流量至源站,自動實現負載均衡。保存網站配置后,您可以通過回源設置,修改源站負載算法。具體操作,請參見修改回源設置。
服務器端口
根據協議類型,設置源站提供對應服務的端口。
HTTP協議、Websocket協議的端口默認為80。
HTTPS協議、HTTP2協議、Websockets協議的端口默認為443。
您可以單擊自定義,自定義服務器端口,多個端口間使用半角逗號(,)分隔,具體限制如下。
自定義端口必須在可選端口范圍內。
標準功能實例:
HTTP協議可選端口:80、8080。
HTTPS協議可選端口:443、8443。
增強功能實例:
HTTP協議可選端口范圍:80~65535。
HTTPS協議可選端口范圍:80~65535。
所有接入DDoS高防實例防護的網站業務下自定義的不同端口(包含不同協議下的自定義端口)的總數不能超過10個。
例如,您有2個網站(A和B),網站A提供HTTP服務、網站B提供HTTPS服務。如果網站A的接入配置中自定義了HTTP 80、8080端口,那么在網站B的接入配置中,最多可以自定義8個不同的HTTPS端口。
Cname Reuse
僅DDoS高防(非中國內地)支持配置該參數。選擇是否開啟CNAME復用。
該功能適用于同一臺服務器上有多個網站業務的場景。開啟CNAME復用后,您只需將同一個服務器上多個域名的解析指向同一個高防CNAME地址,即可將多個域名接入高防,無需為每個域名分別添加高防網站配置。更多信息,請參見CNAME復用。
填寫轉發配置,然后單擊下一步。
配置項
說明
啟用OCSP Stapling
選擇是否啟用OCSP Stapling功能。
重要該功能適用于網站HTTPS業務。如果您已選擇的協議類型包含HTTPS,推薦啟用該功能。
OCSP表示在線證書狀態協議,該協議用于向簽發證書的CA(Certificate Authority)中心發起查詢請求,檢查證書是否被吊銷。在與服務器進行TLS握手時,客戶端必須同時獲取證書和對應的OCSP響應。
未啟用(默認):表示由客戶端瀏覽器向CA中心發起OCSP查詢。該方式會導致客戶端在獲得OCSP響應前阻塞后續的事件,在網絡情況不佳時,將造成較長時間的頁面空白,降低HTTPS的性能。
啟用:表示由DDoS高防來執行OCSP查詢并緩存查詢結果(緩存時間為3600秒)。當有客戶端向服務器發起TLS握手請求時,DDoS高防將證書的OCSP信息隨證書鏈一起發送給客戶端,從而避免了客戶端查詢會產生的阻塞問題。由于OCSP響應是無法偽造的,因此這一過程不會產生額外的安全問題。
流量標記
客戶端真實源端口
HTTP Header中客戶端真實源端口所在的頭部字段名。
一般情況下使用
X-Forwarded-ClientSrcPort
字段記錄真實的客戶端源端口,如果您的業務使用自定義的字段記錄真實的客戶端源端口,請將Header字段名稱設置為您自定義的字段。您可以從高防轉發到源站的請求中解析設置的字段,獲取客戶端使用的真實端口。具體操作與獲取客戶端真實請求IP類似,更多信息,請參見配置DDoS高防后獲取真實的請求來源IP。客戶端真實源IP
HTTP Header中客戶端真實源IP所在的頭部字段名。
一般情況下使用
X-Forwarded-For
字段記錄真實的客戶端源IP,如果您的業務使用自定義的字段記錄真實的客戶端源IP,請將Header字段名稱設置為您自定義的字段。您可以從高防轉發到源站的請求中解析設置的字段,獲取客戶端使用的真實IP。自定義Header
在請求中增加自定義HTTP Header(包含字段名稱和字段值)來標記經過DDoS的請求。高防在代理網站流量時,會在轉發到源站的請求中添加對應的字段值,方便您后端的服務進行統計分析。
請不要使用以下默認字段作為自定義Header:
X-Forwarded-ClientSrcPort
:默認被用于獲取訪問高防七層引擎的客戶端端口。X-Forwarded-ProxyPort
:默認被用于獲取訪問高防七層引擎的監聽端口。X-Forwarded-For
默認被用于獲取訪問高防七層引擎的客戶端IP。
請不要使用標準HTTP頭部字段(例如,user-agent等),否則會導致請求原始頭部字段的內容被改寫。
除客戶端真實源端口和客戶端真實源IP外,您最多支持添加5個自定義Header標簽。
回源負載算法
有多個源站服務器地址(源站IP或源站域名)時需要配置。您可以修改回源負載均衡算法或者為不同服務器設置權重。
IP hash:支持設置IP hash的同時為服務器設置權重。使用IP hash保證同一客戶端的請求在一段時間內被分配到同一臺服務器處理,確保會話的一致性。結合權重模式,根據服務器的處理能力進行權重分配,確保更高性能的服務器處理更多的請求,優化資源利用效率。
輪詢:所有請求輪流分配給所有服務器地址。默認所有服務器地址具有相同權重。支持修改服務器權重。服務器權重越大,被分配到請求的可能性越高。
Least time:通過智能DNS解析能力和Least time回源算法,保證業務流量將從接入防護節點到轉發回源站服務器整個鏈路的時延最短。
其他設置
設置新建連接超時時間:DDoS高防嘗試建立到源站的連接時,超過該時間連接未建立完成,會被認定為失敗。支持設置為1~10秒。
設置讀連接超時時間:DDoS高防成功建立連接并向源站發出讀取數據請求之后,等待源站返回響應數據的最長時間。支持設置為10~300秒。
設置寫連接超時時間:數據從DDoS高防發送出去之后,并由源站開始處理之前,DDoS高防等待的時間長度。超過這段時間,如果DDoS高防還沒有成功地將所有數據發送給源站,或者源站沒有開始處理數據,會被認定為失敗。支持設置為10~300秒。
回源重試:當DDoS高防請求的資源在緩存服務器上沒有命中時,緩存服務器將嘗試從上一級緩存服務器或源站重新獲取該資源。
回源長連接:在緩存服務器與源站之間,使TCP連接在一段時間內保持活躍,而不是每完成一次請求就關閉。開啟后可以減少建立連接的時間和資源消耗,提高請求處理的效率與速度。
復用長連接的請求個數:在DDoS高防向源站建立的一個TCP連接中,支持發送的HTTP請求個數,可以減少因頻繁建立和關閉連接所帶來的延遲和資源消耗。支持設置為10~1000。建議小于等于后端源站(如:WAF、SLB)上配置的長連接請求復用個數,以免長連接關閉造成業務無法訪問。
空閑長連接超時時間:DDoS高防向源站建立的一個TCP長連接,在沒有數據傳輸之后,在高防的連接池保持開啟狀態的最長時間。這個時間段內如果沒有新的請求,該連接將被關閉,以釋放系統資源。支持設置為10~30秒。建議小于等于后端源站(如:WAF、SLB)上配置的超時時長,以免長連接關閉造成業務無法訪問。
設置HTTP2.0 Stream數上限:僅當啟用HTTP2時支持設置,表示服務端允許的最大并發流數量。支持設置為16~32,如果您有更高的配置訴求,請聯系商務經理。
后續配置
(可選)更換源站ECS服務器的公網IP地址。
如果您的源站是阿里云ECS服務器,且源站IP地址不慎暴露,您需要更換ECS云服務器的公網IP,防止黑客繞過DDoS高防直接攻擊源站。具體操作,請參見更換源站ECS公網IP。
在源站服務器上放行DDoS高防回源IP。
如果源站服務器上安裝了防火墻等安全軟件,您需要在源站放行DDoS高防回源IP,避免由高防轉發回源站的流量被誤攔截。具體操作,請參見放行DDoS高防回源IP
在本地驗證轉發配置是否生效。具體操作,請參見本地驗證轉發配置生效。
警告如果轉發配置未生效就執行業務切換,將可能導致業務中斷。
修改DNS解析將業務流量切換到DDoS高防。
添加網站配置后,DDoS高防為網站分配一個CNAME地址,您必須將網站域名的DNS解析指向高防CNAME地址,才可以正式將業務流量切換到高防實例進行防護。具體操作,請參見使用CNAME或IP將網站域名解析到DDoS高防。
(可選)配置網站業務DDoS防護策略。
DDoS高防默認為接入防護的網站開啟了DDoS全局防護策略、AI智能防護,您還可以在網站業務DDoS防護頁簽,開啟更多防護功能。具體操作,請參見網站業務DDoS防護。
重要設置CC安全防護后,可能會被植入Cookie。詳細內容,請參見Cookie植入說明。
(可選)配置云監控告警。
針對DDoS高防的常用業務指標(例如,高防IP流量、連接數等)、攻擊事件(例如,黑洞、清洗事件)設置告警規則,使云監控在高防上業務發生異常時,及時向您發送告警,幫助您縮短響應時間,盡快恢復業務。具體操作,請參見云監控告警。
(可選)配置全量日志服務。
DDoS高防采集并存儲網站業務的全量日志數據,供您進行業務查詢與分析。DDoS高防全量日志服務默認存儲180天內的網站全量日志,幫助您滿足等保合規要求。具體操作,請參見快速使用全量日志分析。
更多操作
編輯網站配置
您可以通過編輯操作修改除網站域名以外的配置信息,例如為網站重新關聯DDoS高防實例、修改源站IP等。編輯網站配置支持批量操作。
如果您為域名修改DDoS高防實例,為保證業務轉發正常,具體操作步驟, 請參考修改域名綁定的DDoS高防實例。
編輯單條網站配置
在域名接入頁面,定位到目標網站配置,單擊操作列的編輯。
在網站配置詳情頁面,修改除網站域名以外的配置信息,然后單擊確定。
批量編輯網站配置
在域名接入頁面最下方,單擊批量修改,在批量修改面板輸入修改后的網站配置,然后單擊下一步。
在導入規則頁面,選中要導入的網站配置,然后單擊確定。
單擊完成,關閉上傳完成頁面。
刪除網站配置
若您的網站不再需要接入DDoS高防,必須先為其恢復域名解析,即確保域名的DNS解析中不再使用高防IP、高防CNAME、流量調度器CNAME作為記錄值,然后刪除對應的網站配置。若您未恢復網站域名解析就刪除網站配置,可能導致業務中斷。
在域名接入頁面,定位到目標網站配置,單擊操作列的刪除。
在刪除提示對話框中,確認要刪除后,單擊刪除。
如果您使用DDoS高防(中國內地)服務,也可以批量刪除多個網站配置。勾選要刪除的網站配置,單擊網站列表下方的批量刪除。
相關文檔
針對業務正常訪問期間的延遲問題,DDoS高防還提供流量調度器功能。實現正常業務訪問期間流量不經過高防轉發,直接達到源站服務器不增加延遲,僅在業務被攻擊時切換到高防進行流量轉發,幫助業務清洗DDoS攻擊。詳細內容,請參見流量調度器。