Anti-DDoS：Melindungi layanan situs web

Prasyarat

Pastikan Anda telah membeli instance Anti-DDoS Proxy (Tiongkok Daratan) atau Anti-DDoS Proxy (Luar Tiongkok Daratan). Untuk informasi lebih lanjut, lihat Membeli Instance Anti-DDoS Proxy.

Langkah 1: Tambahkan layanan situs web Anda

Untuk menggunakan Anti-DDoS Pro atau Anti-DDoS Premium dalam melindungi layanan situs web Anda, tambahkan nama domain layanan yang ingin dilindungi dan konfigurasikan aturan pengalihan lalu lintas di konsol Anti-DDoS Pro atau Anti-DDoS Premium.

1. Masuk ke Konsol Anti-DDoS Proxy.

2. Di bilah navigasi atas, pilih wilayah instance Anda:

   • Anti-DDoS Proxy (Tiongkok Daratan): Pilih wilayah Tiongkok Daratan.

   • Anti-DDoS Proxy (Luar Tiongkok Daratan): Pilih wilayah Luar Tiongkok Daratan.

3. Di panel navigasi sisi kiri, pilih Provisioning > Website Config.

4. Di halaman Website Config, klik Add Website.

   Catatan

   Anda juga dapat mengklik Batch Import di bagian bawah halaman untuk mengimpor konfigurasi situs web secara massal dalam format file XML. Untuk informasi lebih lanjut tentang format file, lihat Hapus atau Ekspor Konfigurasi Situs Web.

   1. Masukkan informasi akses situs web, lalu klik Next.

      Parameter	Deskripsi
      Function Plan	Pilih rencana fungsi instance Anti-DDoS Proxy yang ingin Anda gunakan. Nilai valid: Standard dan Enhanced. Catatan Anda dapat memindahkan pointer ke ikon di sebelah Function Plan untuk melihat perbedaan antara Rencana Fungsi Standar dan Ditingkatkan.
      Instance	Instance Anti-DDoS Proxy yang ingin Anda gunakan. Anda dapat mengaitkan hingga delapan instance Anti-DDoS Proxy dengan nama domain, dan Anda hanya dapat mengaitkan instance di bawah Function Plan yang sama.
      Websites	Nama domain situs web yang ingin Anda lindungi. Nama domain harus memenuhi persyaratan berikut: Nama domain dapat berisi huruf, angka, dan tanda hubung (-). Nama domain harus dimulai dengan huruf atau angka. Anda dapat memasukkan nama domain wildcard, seperti *.aliyundoc.com. Jika Anda memasukkan nama domain wildcard, Anti-DDoS Proxy secara otomatis mencocokkan semua subdomain dari nama domain wildcard tersebut. Catatan Jika baik nama domain wildcard maupun nama domain yang cocok persis dikonfigurasikan (misalnya, *.aliyundoc.com dan www.aliyundoc.com), Anti-DDoS Proxy akan memprioritaskan aturan pengalihan dan kebijakan perlindungan yang dikonfigurasikan untuk nama domain yang cocok persis (yaitu, www.aliyundoc.com). Jika Anda mengonfigurasi nama domain tingkat dua, Anti-DDoS Proxy hanya melindungi nama domain tingkat dua tersebut. Anti-DDoS Proxy tidak melindungi subdomain dari nama domain tingkat dua tersebut. Jika Anda ingin melindungi subdomain, konfigurasikan subdomain atau nama domain wildcard. Anda hanya dapat menentukan nama domain untuk parameter ini. Alamat IP situs web tidak didukung.
      Protocol Type	Jenis protokol yang digunakan oleh situs web. Nilai valid: HTTP: dipilih secara default. HTTPS: Jika situs web menggunakan HTTPS, pilih protokol ini dan lengkapi konfigurasi berikut. Unggah sertifikat yang menggunakan algoritma standar internasional Anda harus mengunggah sertifikat agar Anti-DDoS Proxy dapat membersihkan lalu lintas HTTPS. Upload: Tentukan Certificate Name, lalu tempelkan konten file sertifikat ke bidang Certificate File, dan konten file kunci privat ke bidang Private Key. Catatan Jika file sertifikat dalam format PEM, CER, atau CRT, buka file tersebut di editor teks dan salin kontennya. Untuk format lain seperti PFX atau P7B, konversikan file tersebut ke format PEM terlebih dahulu, lalu salin kontennya. Untuk informasi tentang cara mengonversi format file sertifikat, lihat Mengonversi format sertifikat atau Bagaimana cara mengonversi sertifikat SSL ke format PEM? Jika file tersebut mencakup beberapa sertifikat (seperti rantai sertifikat), gabungkan konten mereka dan tempelkan konten gabungan ke bidang Certificate File. Select Existing Certificate: Jika Anda telah mengajukan sertifikat dari Certificate Management Service (Original SSL Certificate) atau telah mengunggah sertifikat ke Layanan Manajemen Sertifikat, Anda dapat langsung memilih sertifikat tersebut. Kebijakan Keamanan TLS Kustom Untuk informasi lebih lanjut, lihat Konfigurasikan kebijakan keamanan TLS. TLS Versions for SSL Certificate: Pilih versi TLS untuk sertifikat SSL Anda yang menggunakan algoritma standar internasional. Nilai valid: TLS 1.0 and later. This setting provides the best compatibility but low security: TLS 1.0, TLS 1.1, dan TLS 1.2 didukung. Ini merupakan nilai default. TLS 1.1 and later. This setting provides good compatibility and medium security: TLS 1.1 dan TLS 1.2 didukung. TLS 1.2 and later. This setting provides good compatibility and high security level: TLS 1.2 didukung. Anda dapat memilih Enable TLS 1.3 Support sesuai kebutuhan Anda. Cipher Suites for SSL Certificate: Pilih suite cipher untuk sertifikat SSL Anda yang menggunakan algoritma standar internasional, atau sesuaikan suite cipher. Anda dapat memindahkan pointer ke ikon pada opsi suite cipher untuk melihat suite cipher yang termasuk dalam opsi tersebut. Aktifkan autentikasi bersama Jika Anda perlu melakukan autentikasi TLS bersama antara klien dan Anti-DDoS Proxy, Anda perlu mengunggah sertifikat CA root atau sertifikat CA intermediate yang menerbitkan sertifikat klien ke Anti-DDoS Proxy. Baik sertifikat CA yang diterbitkan oleh Alibaba Cloud maupun non-Alibaba Cloud didukung. Issued by Alibaba Cloud: Di daftar dropdown Sertifikat CA Default, pilih sertifikat CA yang diterbitkan oleh Alibaba Cloud Certificate Management Service (Original SSL Certificate). Not Issued by Alibaba Cloud: Pertama, unggah sertifikat CA mandiri ke Certificate Management Service (Original SSL Certificate). Di daftar dropdown Default CA Certificate, pilih sertifikat CA mandiri yang telah diunggah. Aktifkan OCSP Stapling Menentukan apakah akan mengaktifkan fitur Online Certificate Status Protocol (OCSP) stapling. Kami merekomendasikan Anda untuk mengaktifkan fitur ini. OCSP adalah protokol Internet yang digunakan oleh Otoritas Sertifikat (CA) untuk memeriksa status pencabutan sertifikat. Selama jabat tangan TLS, klien harus mendapatkan sertifikat dan respons OCSP. Nonaktif (default): Dalam mode ini, permintaan OCSP dikirim langsung dari browser klien ke CA. Hingga klien menerima respons OCSP, acara lebih lanjut diblokir. Ini dapat menyebabkan penundaan panjang atau halaman kosong jika terjadi koneksi transien atau masalah jaringan, yang memengaruhi kinerja situs web secara negatif. Aktif: Saat OCSP stapling diaktifkan, Anti-DDoS Proxy melakukan permintaan OCSP dan menyimpan hasilnya selama 3.600 detik. Selama jabat tangan TLS, Anti-DDoS Proxy mengembalikan detail OCSP bersama dengan rantai sertifikat ke klien. Metode ini mencegah penundaan yang disebabkan oleh permintaan OCSP dari klien. Pentingnya, OCSP tidak memperkenalkan risiko keamanan karena respons OCSP tidak dapat dipalsukan. Sertifikat SM Hanya instance Anti-DDoS Proxy (Tiongkok Daratan) yang mendukung pengunggahan sertifikat ShangMi (SM) (hanya algoritma SM2 yang didukung). Catatan Anti-DDoS Proxy (Tiongkok Daratan) telah diverifikasi untuk memproses permintaan SM dari browser 360 dan Haitai. Allow Access Only from SM Certificate-based Clients: Sakelar ini dinonaktifkan secara default. Aktif: Hanya memproses permintaan dari klien dengan sertifikat SM yang terinstal. Catatan Saat diaktifkan, konfigurasi suite TLS, autentikasi bersama, dan OCSP stapling untuk sertifikat yang menggunakan algoritma standar internasional tidak akan berlaku. Nonaktif: Memproses permintaan dari klien dengan sertifikat SM yang terinstal dan mereka yang memiliki sertifikat menggunakan algoritma standar internasional. SM Certificate: Anda harus mengunggah sertifikat SM ke Layanan Manajemen Sertifikat sebelum memilihnya. SM Cipher Suites for HTTPS Support: Suite cipher berikut diaktifkan secara default dan tidak dapat diubah. ECC-SM2-SM4-CBC-SM3 ECC-SM2-SM4-GCM-SM3 ECDHE-SM2-SM4-CBC-SM3 ECDHE-SM2-SM4-GCM-SM3 Websocket: Jika Anda memilih Websocket, HTTP secara otomatis dipilih. Anda tidak dapat memilih hanya Websocket untuk parameter Jenis Protokol. Websockets: Jika Anda memilih Websockets, HTTPS secara otomatis dipilih. Anda tidak dapat memilih hanya Websockets untuk parameter Jenis Protokol. Jika Anda memilih HTTPS, Anda dapat mengaktifkan pengaturan lanjutan berikut berdasarkan kebutuhan Anda. Enable HTTPS Redirection: Ini berlaku untuk situs web yang mendukung protokol HTTP dan HTTPS. Setelah Anda mengaktifkan fitur ini, semua permintaan HTTP dipaksa diubah menjadi permintaan HTTPS dan dialihkan ke port 443 secara default. Penting Fitur ini hanya tersedia saat HTTP dan HTTPS dipilih dan Websocket dibersihkan. Jika Anda mengakses situs web melalui HTTP pada port non-standar dan mengaktifkan fitur ini, semua permintaan HTTP dialihkan ke permintaan HTTPS pada port standar 443. Enable HTTP Redirection of Back-to-origin Requests: Jika situs web tidak mendukung HTTPS, Anda harus mengaktifkan fitur ini. Jika fitur ini diaktifkan, semua permintaan HTTPS dialihkan ke permintaan HTTP dan diteruskan ke server asal, dan semua permintaan WebSocket dialihkan ke permintaan WebSocket dan diteruskan ke server asal. Secara default, permintaan dialihkan melalui port standar 80. Penting Jika Anda mengakses situs web melalui HTTPS pada port non-standar dan mengaktifkan fitur ini, semua permintaan HTTPS dialihkan ke permintaan HTTP pada port standar 80. Enable HTTP/2: Saat saklar ini dihidupkan, ini memungkinkan klien protokol HTTP 2.0 terhubung ke Anti-DDoS Proxy, tetapi Anti-DDoS Proxy masih menggunakan HTTP 1.1 untuk meneruskan permintaan ke server asal. Deskripsi fitur HTTP/2: Periode timeout untuk koneksi idle (http2_idle_timeout): 120 detik Jumlah maksimum permintaan per koneksi (http2_max_requests): 1000 Jumlah maksimum aliran bersamaan per koneksi (http2_max_concurrent_streams): 4 Ukuran maksimum seluruh daftar header permintaan setelah dekompresi HPACK (http2_max_header_size): 256K Ukuran maksimum bidang header permintaan yang dikompresi HPACK (http2_max_field_size): 64K
      Server Address	Jenis alamat server asal. Anda harus memasukkan alamat server asal. Catatan Server asal dapat berupa layanan Alibaba Cloud atau layanan pihak ketiga. Jika itu adalah layanan Alibaba Cloud, pastikan itu milik akun Anda saat ini. Jika terkait dengan akun lain, hubungi manajer akun Anda sebelum menambahkannya. Origin IP Address: Alamat IP server asal. Anda dapat memasukkan hingga 20 alamat IP. Jika lebih dari satu, pisahkan menggunakan tanda koma (,). Jika server asal dihosting pada instance ECS, masukkanalamat IP publik dari instance ECS. Jika instance ECS terkait dengan instance Server Load Balancer (SLB), masukkan alamat IP publik dari instance SLB. Jika server asal ditempatkan di pusat data di luar Alibaba Cloud atau pada penyedia layanan cloud lainnya, Anda dapat menggunakan perintah ping nama domain untuk menanyakan alamat IP publik ke mana nama domain diselesaikan, dan masukkan alamat IP publik yang diperoleh. Origin Domain Name: Opsi ini biasanya digunakan ketika layanan proxy lainnya, seperti Web Application Firewall (WAF), diterapkan antara server asal dan Anti-DDoS Proxy. Ini mewakili alamat pengalihan layanan proxy. Anda dapat memasukkan hingga 10 nama domain. Jika Anda memasukkan lebih dari satu nama domain, pisahkan mereka dengan baris baru. Sebagai contoh, jika Anda ingin menerapkan WAF setelah menerapkan instance Anti-DDoS Proxy Anda untuk meningkatkan kemampuan perlindungan keamanan aplikasi, Anda dapat memilih Origin Domain Name dan memasukkan alamat CNAME dari WAF. Untuk informasi lebih lanjut, lihat Melindungi layanan situs web menggunakan Anti-DDoS Proxy dan WAF. Penting Jika Anda mengatur Origin Domain Name sebagai titik akhir publik default dari sebuah bucket OSS, bucket yang sesuai harus memiliki nama domain kustom yang dilampirkan. Untuk informasi lebih lanjut, lihat Lampirkan nama domain kustom.
      Server Port	Berdasarkan Protocol Type, atur port tempat server asal menyediakan layanan yang sesuai. Jika Anda memilih HTTP atau Websocket, port default 80 digunakan. Jika Anda memilih HTTPS, HTTP/2, atau Websockets, port default 443 digunakan. Anda dapat menentukan satu atau beberapa port kustom. Jika Anda menentukan beberapa port kustom, pisahkan port-port tersebut dengan koma (,). Perhatikan batasan berikut saat menentukan port kustom: Port kustom harus berada dalam rentang yang diizinkan: Port HTTP: port yang berkisar dari 80 hingga 65535 Port HTTPS: port yang berkisar dari 80 hingga 65535 Anda dapat menentukan hingga 10 port kustom untuk semua situs web yang ditambahkan ke instance Anti-DDoS Proxy Anda. Port kustom mencakup port HTTP dan port HTTPS. Sebagai contoh, Anda ingin menambahkan Situs Web A dan Situs Web B ke instance Anti-DDoS Proxy Anda, Situs Web A menyediakan layanan HTTP, dan Situs Web B menyediakan layanan HTTPS. Jika Anda menentukan port HTTP 80 dan 8080 untuk Situs Web A, Anda dapat menentukan hingga delapan port HTTPS untuk Situs Web B.
      CNAME Reuse	Menentukan apakah akan mengaktifkan penggunaan kembali CNAME. Parameter ini hanya tersedia untuk Anti-DDoS Proxy (Luar Tiongkok Daratan). Jika lebih dari satu situs web dihosting pada server yang sama, fitur ini tersedia. Setelah penggunaan kembali CNAME diaktifkan, Anda hanya perlu memetakan nama domain yang dihosting pada server yang sama ke CNAME yang ditetapkan oleh Anti-DDoS Proxy. Dengan cara ini, Anda dapat menambahkan beberapa nama domain ke Anti-DDoS Proxy tanpa menambahkan konfigurasi situs web untuk setiap nama domain. Untuk informasi lebih lanjut, lihat Penggunaan Kembali CNAME.

   2. Konfigurasikan pengaturan pengalihan, lalu klik Next.

      Parameter	Deskripsi
      Back-to-origin Scheduling Algorithm	Algoritma penyeimbangan beban untuk permintaan balik ke asal. Jika beberapa alamat server asal dikonfigurasikan, parameter ini diperlukan. Alamat server asal bisa berupa alamat IP atau nama domain. Anda dapat mengubah algoritma penyeimbangan beban untuk permintaan balik ke asal atau menentukan bobot untuk alamat server. Round-robin (Default): Semua permintaan didistribusikan ke semua alamat server secara bergantian. Secara default, semua alamat server memiliki bobot yang sama. Anda dapat mengubah bobot server. Semakin tinggi bobot server, semakin tinggi kemungkinan permintaan diteruskan ke server tersebut. Ini cocok untuk skenario di mana beberapa server asal digunakan dan ada persyaratan tinggi untuk distribusi beban seragam di seluruh server asal. IP hash: Mendukung pengaturan IP hash sambil juga mengonfigurasi bobot untuk server. Opsi IP hash memungkinkan permintaan dari klien yang sama diteruskan ke server yang sama dalam periode waktu tertentu, memastikan konsistensi sesi. Dikombinasikan dengan mode bobot, bobot ditetapkan sesuai dengan kapasitas pemrosesan server, memastikan server berperforma tinggi menangani lebih banyak permintaan, mengoptimalkan efisiensi pemanfaatan sumber daya. Ini cocok untuk skenario yang memerlukan pemeliharaan konsistensi sesi pengguna. Namun, dalam kasus ekstrem, mungkin ada distribusi beban yang tidak merata. Least time: Melalui kemampuan resolusi DNS cerdas dan algoritma kembali ke asal Least time, ini memastikan bahwa lalu lintas bisnis memiliki latensi terpendek di seluruh tautan dari node proteksi hingga pengalihan kembali ke server asal.
      Traffic Marking	Port Asal Nama header HTTP yang berisi port asal klien. Dalam kebanyakan kasus, header X-Forwarded-ClientSrcPort digunakan untuk mencatat port asal klien. Jika Anda menggunakan header kustom untuk mencatat port asal klien, tentukan header kustom untuk Port Asal. Setelah Anti-DDoS Proxy meneruskan permintaan balik ke server asal Anda, server asal Anda mengurai header kustom untuk mendapatkan port asal klien. Langkah-langkah untuk mendapatkan port asal klien serupa dengan langkah-langkah untuk mendapatkan alamat IP asal klien. Untuk informasi lebih lanjut, lihat Mendapatkan alamat IP asal permintaan. Alamat IP Asal Nama header HTTP yang berisi alamat IP asal klien. Dalam kebanyakan kasus, header X-Forwarded-For digunakan untuk mencatat alamat IP asal klien. Jika Anda menggunakan header kustom untuk mencatat alamat IP asal klien, tentukan header kustom untuk Alamat IP Asal. Setelah Anti-DDoS Proxy meneruskan permintaan balik ke server asal Anda, server asal Anda mengurai header kustom untuk mendapatkan alamat IP asal klien. Header Kustom Anda dapat menambahkan header HTTP kustom ke permintaan yang melewati Anti-DDoS Proxy untuk menandai permintaan tersebut. Untuk menambahkan header HTTP kustom, tentukan nama header dan nilai. Setelah Anda membuat header kustom, Anti-DDoS Proxy menambahkan header kustom ke permintaan balik ke asal. Dengan cara ini, server backend dapat melakukan analisis statistik pada permintaan balik ke asal. Jangan gunakan header default berikut sebagai header kustom: X-Forwarded-ClientSrcPort: Header ini digunakan untuk mendapatkan port asal klien yang mengakses Anti-DDoS Proxy (proxy lapisan 7). X-Forwarded-ProxyPort: Header ini digunakan untuk mendapatkan port pendengar yang mengakses Anti-DDoS Proxy (proxy lapisan 7). X-Forwarded-For: Header ini digunakan untuk mendapatkan alamat IP asal klien yang mengakses Anti-DDoS Proxy (proxy lapisan 7). Jangan gunakan header HTTP standar (seperti Host, User-Agent, Connection, dan Upgrade) atau header HTTP kustom yang banyak digunakan (seperti X-Real-IP, X-True-IP, X-Client-IP, Web-Server-Type, WL-Proxy-Client-IP, EagleEye-RPCID, EagleEye-TraceID, X-Forwarded-Cluster, dan X-Forwarded-Proto). Jika Anda menggunakan header di atas, header asli akan ditimpa. Anda dapat menambahkan hingga lima header HTTP kustom.
      Cookie Settings	Status Pengiriman Secara default, saklar ini dihidupkan. Saat diaktifkan, Anti-DDoS Proxy menyisipkan cookie ke klien (seperti browser) untuk membedakan antara klien yang berbeda atau untuk mendapatkan informasi sidik jari klien. Untuk informasi lebih lanjut, lihat Konfigurasikan fitur mitigasi banjir HTTP. Penting Jika Anda ingin menghentikan Anti-DDoS Proxy menyisipkan cookie ke layanan Anda, Anda dapat mematikan saklar ini. Namun, menonaktifkan opsi ini akan mencegah Anti-DDoS Proxy secara aktif menilai dan membela terhadap serangan banjir HTTP melalui aturan mitigasi banjir HTTP. Atribut Secure Atribut Secure dinonaktifkan secara default. Jika diaktifkan, cookie hanya akan dikirim melalui koneksi HTTPS, bukan melalui koneksi HTTP, yang membantu melindungi cookie dari pencurian oleh penyerang. Kami merekomendasikan mengaktifkan opsi ini jika situs web Anda hanya mendukung koneksi HTTPS.
      Other Settings	Configure New Connection Timeout Period: periode timeout untuk membangun koneksi. Jika Anti-DDoS Proxy gagal membangun koneksi ke server asal dalam periode timeout yang ditentukan, permintaan koneksi gagal. Nilai valid: 1 hingga 10. Unit: detik. Configure Read Connection Timeout Period: periode timeout untuk memproses permintaan baca. Jika server asal gagal merespons permintaan baca yang dikirim oleh Anti-DDoS Proxy melalui koneksi yang telah dibangun dalam periode timeout yang ditentukan, permintaan baca gagal. Nilai valid: 10 hingga 300. Unit: detik. Configure Write Connection Timeout Period: periode timeout untuk memproses permintaan tulis. Jika Anti-DDoS Proxy gagal mengirim semua data ke server asal atau server asal gagal mulai memproses data dalam periode timeout yang ditentukan, permintaan tulis gagal. Nilai valid: 10 hingga 300. Unit: detik. Retry Back-to-origin Requests: Jika Anda menghidupkan saklar dan sumber daya yang diminta oleh Anti-DDoS Proxy tidak dapat diambil dari server cache, server cache mengambil sumber daya dari server cache tingkat atas atau server asal. Back-to-origin Persistent Connections: Jika Anda menghidupkan saklar, koneksi TCP antara server cache dan server asal tetap aktif selama periode waktu tertentu. Koneksi tidak ditutup setiap kali permintaan selesai. Ini membantu mengurangi waktu dan sumber daya yang diperlukan untuk membangun koneksi dan meningkatkan efisiensi serta kecepatan pemrosesan permintaan. Requests Reusing Persistent Connections: jumlah maksimum permintaan HTTP yang dapat dikirim Anti-DDoS Proxy ke server asal melalui koneksi TCP. Penggunaan koneksi persisten membantu mengurangi latensi dan konsumsi sumber daya yang disebabkan oleh pembukaan dan penutupan koneksi secara sering. Nilai valid: 10 hingga 1000. Kami merekomendasikan Anda menentukan nilai kurang dari atau sama dengan jumlah permintaan menggunakan koneksi persisten yang dikonfigurasikan pada server asal, seperti instance WAF atau SLB. Ini membantu mencegah ketidaktersediaan layanan karena kegagalan koneksi persisten. Timeout Period of Idle Persistent Connections: periode timeout untuk koneksi TCP persisten idle yang dibangun Anti-DDoS Proxy ke server asal. Jika data tidak ditransmisikan melalui koneksi TCP terbuka di pool koneksi Anti-DDoS Proxy, koneksi TCP dianggap idle. Jika tidak ada permintaan baru yang dimulai melalui koneksi TCP idle dalam periode timeout yang ditentukan, koneksi ditutup untuk melepaskan sumber daya sistem. Nilai valid: 10 hingga 30. Unit: detik. Kami merekomendasikan Anda menentukan nilai kurang dari atau sama dengan periode timeout yang dikonfigurasikan pada server asal, seperti instance WAF atau SLB. Ini membantu mencegah ketidaktersediaan layanan karena kegagalan koneksi persisten. Upper Limit for HTTP/2 Streams: jumlah maksimum stream HTTP/2 yang diizinkan antara klien dan Anti-DDoS Proxy. Fitur ini hanya tersedia saat HTTP/2 digunakan. Nilai valid: 16 hingga 32. Jika Anda ingin menentukan nilai yang lebih besar, hubungi manajer akun Anda.

Langkah 2: Alihkan lalu lintas layanan situs web Anda ke Anti-DDoS Pro atau Anti-DDoS Premium

Instance akan membersihkan lalu lintas dan meneruskannya ke server asal, melindungi layanan situs web Anda dari serangan DDoS.

Langkah 3: Konfigurasikan kebijakan mitigasi

Setelah menambahkan layanan situs web Anda, fitur berikut diaktifkan secara default: Anti-DDoS Global Mitigation Policy, Intelligent Protection, dan Frequency Control. Anda dapat mengaktifkan fitur tambahan atau memodifikasi aturan perlindungan pada tab Protection for Website Services.

1. Di panel navigasi sisi kiri, pilih Provisioning > Website Config.

2. Di halaman Website Config, temukan nama domain yang ingin Anda kelola dan klik Mitigation Settings di kolom Actions.

3. Di tab Protection for Website Services, buat kebijakan mitigasi untuk nama domain.

   Parameter	Deskripsi
   Intelligent Protection	Perlindungan Cerdas diaktifkan secara default. Perlindungan Cerdas mengaktifkan mesin analisis berbasis cerdas dan big data untuk mempelajari pola lalu lintas beban kerja, mendeteksi dan memblokir jenis serangan banjir HTTP baru, serta menyesuaikan kebijakan secara dinamis untuk memblokir permintaan jahat. Anda dapat secara manual mengubah mode dan tingkat perlindungan. Untuk informasi lebih lanjut, lihat Gunakan fitur perlindungan cerdas.
   Anti-DDoS Global Mitigation Policy	Kebijakan Mitigasi Global Anti-DDoS diaktifkan secara default. Anti-DDoS Pro atau Anti-DDoS Premium menyediakan kebijakan mitigasi global bawaan untuk layanan situs web yang ditambahkan ke Anti-DDoS Pro atau Anti-DDoS Premium. Kebijakan mitigasi global mendukung tiga mode yang diklasifikasikan berdasarkan intensitas pembersihan lalu lintas. Kebijakan ini membantu Anda merespons serangan volumetrik pada kesempatan pertama. Untuk informasi lebih lanjut, lihat Konfigurasikan kebijakan mitigasi global.
   Blacklist and Whitelist	Setelah kebijakan ini diaktifkan, permintaan dari alamat IP atau blok CIDR di daftar hitam diblokir dan permintaan dari alamat IP atau blok CIDR di daftar putih diizinkan. Untuk informasi lebih lanjut, lihat Konfigurasikan daftar hitam dan daftar putih untuk nama domain.
   Location Blacklist	Kebijakan ini membantu Anda mengonfigurasi daftar hitam lokasi untuk memblokir permintaan yang berasal dari alamat IP di lokasi yang diblokir. Untuk informasi lebih lanjut, lihat Konfigurasikan daftar hitam lokasi untuk nama domain.
   Accurate Access Control	Kebijakan ini membantu Anda mengonfigurasi aturan kontrol akses kustom. Aturan-aturan ini memungkinkan Anda memfilter permintaan berdasarkan bidang HTTP umum, seperti IP, URI, Referer, User-Agent, dan Params. Aturan-aturan ini juga dapat digunakan untuk mengizinkan, memblokir, atau memverifikasi permintaan yang sesuai dengan aturan tersebut. Untuk informasi lebih lanjut, lihat Konfigurasikan aturan kontrol akses akurat.
   Frequency Control	Kontrol Frekuensi diaktifkan secara default. Anda dapat membatasi frekuensi akses dari alamat IP sumber ke layanan situs web Anda. Kontrol Frekuensi mulai berlaku segera setelah diaktifkan. Secara default, mode Normal digunakan untuk melindungi layanan situs web Anda dari serangan banjir HTTP umum. Anda dapat secara manual mengubah mode perlindungan dan membuat aturan kustom untuk memperkuat perlindungan. Untuk informasi lebih lanjut, lihat Konfigurasikan kontrol frekuensi.

Langkah 4: Lihat data perlindungan layanan situs web Anda

Setelah menambahkan layanan situs web Anda ke instance Anti-DDoS Pro atau Anti-DDoS Premium, gunakan fitur laporan keamanan dan fitur terkait log untuk melihat data perlindungan di konsol Anti-DDoS Pro atau Anti-DDoS Premium.

1. Di halaman Security Overview, Anda dapat melihat statistik untuk instance dan nama domain, serta detail serangan DDoS. Untuk informasi lebih lanjut, lihat Security Overview.

2. Di halaman Operation Logs, lihat catatan operasi penting. Untuk informasi lebih lanjut, lihat Kueri Log Operasi.

3. Di halaman Log Analysis, lihat log layanan situs web Anda. Untuk informasi lebih lanjut, lihat Gunakan Fitur Analisis Log.

   Catatan

   Fitur analisis log adalah layanan bernilai tambah. Untuk menggunakannya, Anda harus membeli dan mengaktifkannya. Setelah fitur analisis log diaktifkan, log akses layanan situs web dan log serangan banjir HTTP dikumpulkan dan dikelola oleh Layanan Log Alibaba Cloud. Anda dapat mencari dan menganalisis data log secara real-time, serta melihat hasil pencarian pada dasbor. Untuk informasi lebih lanjut, lihat Apa itu Layanan Log?.

Referensi

• Bagaimana cara menangani masalah respons lambat, latensi tinggi, dan kegagalan akses pada layanan saya yang dilindungi oleh instance Anti-DDoS Pro atau Anti-DDoS Premium?

• Bagaimana cara menyelesaikan kesalahan 504 pada situs web yang dilindungi oleh Anti-DDoS Pro atau Anti-DDoS Premium?

• Bagaimana cara menyelesaikan kesalahan 502 pada situs web yang dilindungi oleh Anti-DDoS Pro atau Anti-DDoS Premium?

• Bagaimana cara menangani akses lambat ke layanan yang dilindungi oleh Anti-DDoS Pro atau Anti-DDoS Premium?