Anti-DDoS：Lindungi layanan website

Cakupan yang berlaku

• Instance Anti-DDoS Pro atau Anti-DDoS Premium: Anda telah membeli instance Anti-DDoS Pro atau Anti-DDoS Premium sesuai kebutuhan bisnis. Untuk informasi lebih lanjut, lihat Beli instance Anti-DDoS Pro atau Anti-DDoS Premium.

• Pendaftaran ICP: Jika Anda menggunakan instance Anti-DDoS Pro atau Anti-DDoS Premium yang ditempatkan di Tiongkok daratan, pastikan domain Anda telah menyelesaikan pendaftaran ICP.

Langkah 1: Tambahkan layanan website Anda

Untuk melindungi website Anda dengan Anti-DDoS Pro atau Anti-DDoS Premium, pertama-tama tambahkan nama domain website dan konfigurasikan aturan pengalihan traffic di konsol Anti-DDoS Pro atau Anti-DDoS Premium.

1. Masuk ke halaman Website Config di konsol Anti-DDoS Proxy.

2. Di bilah navigasi atas, pilih wilayah instance Anda.

   • Anti-DDoS Proxy (Tiongkok daratan): Pilih wilayah Tiongkok daratan.

   • Proxy Anti-DDoS (luar Tiongkok daratan): Pilih wilayah luar Tiongkok daratan.

3. Di halaman Website Config, klik Add Website.

   Catatan

   Anda juga dapat mengklik Batch Import di bagian bawah halaman untuk mengimpor beberapa konfigurasi website sekaligus. Konfigurasi harus dalam file XML. Untuk informasi lebih lanjut tentang format file, lihat Operasi lainnya.

4. Masukkan informasi Website Config dan klik Next.

   Konfigurasi Dasar

   • Function Plan: Pilih paket fungsi instance Anti-DDoS Pro yang ingin Anda asosiasikan. Opsi: Standard dan Enhanced.

     Catatan

     Arahkan kursor ke ikon setelah Function Plan untuk melihat perbedaan fitur antara paket fungsi Standard dan Enhanced. Untuk informasi lebih lanjut, lihat perbedaan antara paket fungsi Standard dan Enhanced.

   • Instance: Pilih instance Anti-DDoS Pro yang ingin Anda asosiasikan.

     Penting

     Satu nama domain dapat diasosiasikan dengan maksimal delapan instance Anti-DDoS Pro. Instance tersebut harus menggunakan Function Plan yang sama.

   • Websites: Masukkan nama domain website yang ingin Anda lindungi. Anda dapat memasukkan nama domain yang cocok persis, seperti www.example.com, atau nama domain wildcard, seperti *.example.com.

     Catatan

     • Jika terdapat konfigurasi untuk nama domain wildcard (misalnya, *.aliyundoc.com) dan nama domain yang cocok persis (misalnya, www.aliyundoc.com), Anti-DDoS Pro memprioritaskan aturan pengalihan dan kebijakan mitigasi dari nama domain yang cocok persis (www.aliyundoc.com).

     • Jika Anda memasukkan domain root, hanya domain root tersebut yang dilindungi. Domain tingkat kedua dan subdomain lainnya tidak dilindungi. Jika ingin melindungi domain tingkat kedua, masukkan domain tingkat kedua atau nama domain wildcard.

     • Anda hanya dapat memasukkan nama domain, bukan alamat IP.

   • Protocol Type: Pilih protokol yang didukung oleh website.

     • HTTP / HTTPS: Protokol dasar untuk layanan web.

       Catatan

       Untuk informasi tentang pengaturan HTTPS, lihat deskripsi pada tab HTTPS Configuration.

     • Websocket / Websockets: Protokol komunikasi real-time. Jika Anda memilih salah satu protokol ini, HTTP atau HTTPS akan dipilih secara otomatis.

   • Server Address: Tetapkan alamat server backend (server origin) yang digunakan oleh Anti-DDoS Pro selama proses origin fetch.

     • Origin IP Address: Masukkan alamat IP publik server origin. Anda dapat memasukkan beberapa alamat IP, dipisahkan dengan koma. Contoh:

       • Server origin berada di Alibaba Cloud: Masukkan alamat IP publik instance ECS origin. Jika instance SLB ditempatkan sebelum instance ECS, masukkan alamat IP publik instance SLB tersebut.

       • Server origin berada di pusat data yang tidak dikelola oleh Alibaba Cloud atau berada di platform cloud lain: Jalankan perintah ping <domain name> untuk menanyakan alamat IP publik tempat nama domain tersebut di-resolve. Lalu, masukkan alamat IP publik tersebut.

     • Origin Domain Name:

       • Skenario: Opsi ini cocok untuk skenario di mana layanan proxy lain dikonfigurasi di antara server origin dan Anti-DDoS Pro. Contoh:

         • Jika WAF digunakan sebagai proxy sebelumnya, Anda dapat memasukkan CNAME instance WAF. Untuk informasi lebih lanjut, lihat Tingkatkan perlindungan website dengan menerapkan Anti-DDoS Pro dan WAF bersama-sama.

         • Jika Anda menetapkan Origin Domain Name ke titik akhir publik default bucket OSS, Anda harus menyambungkan nama domain kustom ke bucket tersebut. Untuk informasi lebih lanjut, lihat Sambungkan nama domain kustom.

       • Batasan: Anda dapat mengonfigurasi maksimal 10 nama domain origin. Pisahkan dengan baris baru.

   • Server Port: Tetapkan port yang digunakan oleh server origin untuk mendengarkan layanan website.

     • HTTP/Websocket: Port default adalah 80.

     • HTTPS/Websockets: Port default adalah 443.

     • Custom Server Port:

       • Multiple ports: Anda dapat menentukan beberapa port, dipisahkan dengan koma. Jumlah total port kustom untuk semua layanan website yang dilindungi oleh instance Anti-DDoS Pro tidak boleh melebihi 10. Ini mencakup port kustom untuk protokol yang berbeda.

       • Port range (HTTP/HTTPS): 80 hingga 65535

   Konfigurasi HTTPS

   Jika Anda memilih HTTPS untuk autentikasi terenkripsi, lengkapi konfigurasi berikut.

   • Konfigurasikan sertifikat: Untuk mengaktifkan HTTPS, Anda harus mengonfigurasi Sertifikat SSL yang sesuai dengan nama domain website.

     • Upload: Tentukan Certificate Name, lalu tempel konten file sertifikat ke bidang Certificate File, dan konten file kunci privat ke bidang Private Key.

       Catatan

       • Jika file sertifikat dalam format PEM, CER, atau CRT, buka dengan editor teks dan salin isinya. Untuk format lain seperti PFX atau P7B, konversi file ke format PEM terlebih dahulu, lalu salin isinya. Untuk informasi cara mengonversi format file sertifikat, lihat Mengonversi format sertifikat atau Bagaimana cara mengonversi Sertifikat SSL ke format PEM?

       • Jika file mencakup beberapa sertifikat (seperti rantai sertifikat), gabungkan isinya dan tempel konten gabungan ke bidang Certificate File.

     • Select Existing Certificate: Jika Anda telah mengajukan sertifikat dari Certificate Management Service (Original SSL Certificate) atau telah mengunggah sertifikat ke Certificate Management Service, Anda dapat langsung memilih sertifikat tersebut.

   • Konfigurasikan TLS Security Settings:

     Catatan

     Untuk informasi lebih lanjut, lihat Menyesuaikan kebijakan keamanan TLS untuk sertifikat HTTPS server.

     • TLS Versions for SSL Certificate: Pilih versi TLS yang didukung oleh sertifikat HTTPS standar internasional.

       • TLS 1.0 and later. This setting provides the best compatibility but low security.: Mendukung TLS 1.0, TLS 1.1, dan TLS 1.2.

       • TLS 1.1 and later. This setting provides good compatibility and medium security.: Mendukung TLS 1.1 dan TLS 1.2.

       • TLS 1.2 and later. This setting provides good compatibility and high security level.: Mendukung TLS 1.2.

       • Enable TLS 1.3 Support: Mendukung TLS 1.3.

     • Cipher Suites for SSL Certificate: Pilih paket sandi yang didukung untuk sertifikat HTTPS standar internasional, atau pilih paket sandi kustom. Arahkan kursor ke ikon untuk opsi paket sandi guna melihat paket sandi yang termasuk di dalamnya.

   • Mutual Authentication:

     • Issued by Alibaba Cloud: Pilih sertifikat CA default dari daftar drop-down A default CA certificate is required.. Sertifikat ini dikeluarkan oleh Certificate Management Service (Original SSL Certificate) milik Alibaba Cloud.

     • Not Issued by Alibaba Cloud:

       • Pertama, unggah sertifikat CA self-signed ke Certificate Management Service (Original SSL Certificate). Untuk petunjuk detail, lihat Upload Certificate Repository.

       • Pada daftar tarik-turun A default CA certificate is required., pilih sertifikat CA mandiri yang telah diunggah.

   • Enable OCSP Stapling: OCSP adalah singkatan dari Online Certificate Status Protocol. Protokol ini digunakan untuk menanyakan otoritas sertifikat (CA) yang mengeluarkan sertifikat server guna memeriksa apakah sertifikat tersebut telah dicabut. Selama proses jabat tangan TLS dengan server, klien harus memperoleh sertifikat dan respons OCSP-nya.

     Penting

     Respons OCSP ditandatangani secara digital oleh CA dan tidak dapat dipalsukan. Mengaktifkan fitur ini tidak menimbulkan risiko keamanan tambahan.

     • Disabled (Default): Klien mengirim kueri OCSP ke CA selama proses jabat tangan TLS untuk memverifikasi apakah sertifikat telah dicabut. Proses ini memblokir koneksi dan dapat menyebabkan penundaan pemuatan halaman jika jaringan buruk.

     • Enabled: Anti-DDoS Pro melakukan kueri OCSP dan menyimpan hasilnya selama 3.600 detik. Saat klien memulai permintaan jabat tangan TLS ke server, Anti-DDoS Pro mengirim respons OCSP yang disimpan bersama rantai sertifikat ke klien. Hal ini menghindari masalah pemblokiran akibat kueri sisi klien dan meningkatkan kinerja HTTPS.

   • SM Certificate: Hanya instance Anti-DDoS Pro (Tiongkok daratan) yang mendukung pengunggahan sertifikat HTTPS berbasis SM. Hanya algoritma SM2 yang didukung.

     • Allow Access Only from SM Certificate-based Clients: Sakelar ini dimatikan secara default.

       • Aktif: Hanya memproses permintaan dari klien yang memiliki sertifikat SM yang terpasang.

         Catatan

         Jika diaktifkan, konfigurasi suite TLS, mutual authentication, dan pengikatan OCSP untuk sertifikat yang menggunakan algoritma yang diterima secara internasional tidak akan berlaku.

       • Nonaktif: Memproses permintaan dari klien yang memiliki sertifikat SM yang terpasang dan klien yang memiliki sertifikat yang menggunakan algoritma yang diterima secara internasional.

     • SM Certificate: Anda harus mengunggah sertifikat SM ke Certificate Management Service sebelum memilihnya.

     • SM Cipher Suites for HTTPS Support: Paket sandi berikut diaktifkan secara default dan tidak dapat diubah.

       • ECC-SM2-SM4-CBC-SM3

       • ECC-SM2-SM4-GCM-SM3

       • ECDHE-SM2-SM4-CBC-SM3

       • ECDHE-SM2-SM4-GCM-SM3

   Pengaturan Lanjutan

   • Enable HTTPS Redirection: Pengaturan ini cocok untuk website yang mendukung HTTP dan HTTPS. Setelah Anda mengaktifkan pengaturan ini, semua permintaan HTTP akan diarahkan secara paksa ke permintaan HTTPS pada port 443 secara default.

     Penting

     • Anda hanya dapat mengaktifkan pengaturan ini jika memilih protokol HTTP dan HTTPS, serta tidak memilih protokol Websocket.

     • Jika Anda mengakses website melalui port HTTP non-standar (selain 80) dan mengaktifkan pengalihan paksa ke HTTPS, permintaan akses akan diarahkan ke port HTTPS 443 secara default.

   • HTTP/2 Listener: Jika sakelar ini diaktifkan, klien yang menggunakan HTTP/2 dapat mengakses Anti-DDoS Pro. Namun, Anti-DDoS Pro tetap menggunakan HTTP/1.1 untuk origin fetch. Spesifikasi fitur HTTP/2 adalah sebagai berikut:

     • Spesifikasi dasar:

       • Timeout idle setelah koneksi ditutup (http2_idle_timeout): 120 detik

       • Jumlah maksimum permintaan per koneksi (http2_max_requests): 1.000

       • Jumlah maksimum stream konkuren per koneksi (http2_max_concurrent_streams): 4

       • Ukuran maksimum seluruh daftar header permintaan setelah dekompresi HPACK (http2_max_header_size): 256 K

       • Ukuran maksimum bidang header permintaan yang dikompresi HPACK (http2_max_field_size): 64 K

     • Spesifikasi yang dapat dikonfigurasi: Anda dapat mengatur Upper Limit for HTTP/2 Streams. Ini adalah jumlah maksimum stream konkuren yang diizinkan antara klien dan Anti-DDoS Pro.

   • Set Forward Connection Timeout: Ini adalah periode timeout idle untuk koneksi TCP persisten yang dibuat antara klien dan Anti-DDoS Pro. Ini adalah waktu tunggu maksimum antara dua permintaan klien.

     Catatan

     Jika tidak ada permintaan baru yang diterima dalam periode yang ditentukan, Anti-DDoS Pro menutup koneksi untuk melepaskan resource.

5. Masukkan Forwarding Settings dan klik Next.

   Pengaturan Kembali ke Asal

   • Back-to-origin Scheduling Algorithm: Jika Anda mengonfigurasi beberapa Origin IP Addresses atau Origin Domain Names, Anda dapat mengubah algoritma penyeimbangan beban atau menetapkan bobot untuk server yang berbeda guna menentukan cara distribusi traffic di antara server origin.

     Metode	Skenario	Deskripsi
     Round-robin (Default)	Skenario yang menggunakan beberapa server origin dan memerlukan kinerja penyeimbangan beban tinggi.	Semua permintaan didistribusikan ke semua alamat server secara bergiliran. Secara default, semua alamat server memiliki bobot yang sama. Anda dapat mengubah bobot server. Bobot yang lebih besar menunjukkan probabilitas yang lebih tinggi untuk menerima permintaan.
     IP hash	Skenario yang memerlukan konsistensi sesi. Dalam kasus ekstrem, ketidakseimbangan beban dapat terjadi.	Permintaan dari alamat IP klien yang sama selalu diarahkan ke server origin yang sama untuk memastikan konsistensi sesi. Anda dapat menetapkan bobot untuk server saat menggunakan algoritma IP hash. Hal ini memungkinkan Anda mendistribusikan traffic berdasarkan kemampuan pemrosesan server dan memprioritaskan server dengan kinerja lebih baik.
     Least time	Layanan yang sangat sensitif terhadap kecepatan akses dan latensi respons, seperti game dan transaksi online.	Kemampuan penguraian DNS cerdas dan algoritma least time untuk origin fetch memastikan latensi terpendek untuk seluruh tautan dari POP ke server origin.

   • Retry Back-to-origin Requests: Jumlah probe pemeriksaan kesehatan untuk memeriksa ketersediaan server origin untuk penerusan domain. Nilai default adalah 3. Mekanisme retry bekerja sebagai berikut:

     1. Fitur retry kembali ke asal hanya dipicu saat traffic layanan mengakses node tepi. Saat node tepi mendeteksi bahwa server origin untuk nama domain tidak tersedia, fitur tersebut mencoba kembali origin fetch.

     2. Jika server origin masih tidak dapat dijangkau setelah jumlah maksimum retry, server tersebut memasuki periode diam. Selama periode ini, tidak ada traffic yang diteruskan ke server origin, dan tidak ada probe yang dikirim.

     3. Setelah periode diam berakhir, fitur retry kembali ke asal dipicu lagi berdasarkan traffic layanan. Jika retry berhasil, server origin diaktifkan kembali.

   • Traffic Marking:

     • Request Header Forwarding Configuration: Anti-DDoS Proxy mendukung penerusan header permintaan. Anda dapat menambah atau memodifikasi header permintaan HTTP saat meneruskan permintaan ke server origin Anda. Hal ini membantu mengidentifikasi dan menandai traffic yang melewati Anti-DDoS Proxy.

       • Insert X-Client-IP to Get Originating IP Address: Meneruskan alamat IP asli klien.

       • Insert X-True-IP to Forward Client IP: Meneruskan alamat IP yang digunakan klien untuk membuat koneksi.

       • Insert Web-Server-Type to Get Service Type: Biasanya ditambahkan oleh proxy pertama. Memberi tahu server backend web server atau proxy frontend mana yang menangani permintaan.

       • Insert WL-Proxy-Client-IP to Get Connection IP: Fungsi yang sama dengan X-Client-IP. Header khusus untuk Oracle WebLogic Server.

       • X-Forwarded-Proto (Listener Protocol): Protokol yang digunakan antara klien dan proxy pertama.

     • Tanda lalu lintas

       • Tanda default

         Catatan

         • JA3 Fingerprint, JA4 Fingerprint, Client TLS Fingerprint, dan HTTP/2 Fingerprint memerlukan bantuan manajer akun Anda untuk dikonfigurasi.

         • Jika layanan Anda menggunakan bidang kustom alih-alih tanda default, lihat Custom Header di bawah. Setelah Anda mengonfigurasinya, server origin Anda mengurai bidang ini dari permintaan yang diteruskan oleh Anti-DDoS Proxy. Untuk contoh penguraian, lihat Dapatkan alamat IP sumber asli setelah mengonfigurasi Anti-DDoS Proxy.

         • Originating Port: Nama bidang header untuk port asal klien dalam header HTTP. Biasanya dicatat dalam bidang X-Forwarded-ClientSrcPort.

         • Originating IP Address: Nama bidang header untuk alamat IP asal klien dalam header HTTP. Biasanya dicatat dalam bidang X-Forwarded-For.

         • JA3 Fingerprint: Nama bidang header untuk nilai hash MD5 yang dihasilkan dari sidik jari JA3 klien dalam header HTTP. Biasanya dicatat dalam bidang ssl_client_ja3_fingerprint_md5.

         • JA4 Fingerprint: Nama bidang header untuk nilai hash MD5 yang dihasilkan dari sidik jari JA4 klien dalam header HTTP. Biasanya dicatat dalam bidang ssl_client_ja4_fingerprint_md5.

         • Client TLS Fingerprint: Nama bidang header untuk nilai hash MD5 yang dihasilkan dari sidik jari TLS klien dalam header HTTP. Biasanya dicatat dalam bidang ssl_client_tls_fingerprint_md5.

         • HTTP/2 Fingerprint: Nama bidang header untuk nilai hash MD5 yang dihasilkan dari sidik jari HTTP/2.0 klien dalam header HTTP. Biasanya dicatat dalam bidang http2_client_fingerprint_md5.

       • Custom Header: Tambahkan header HTTP kustom (termasuk nama bidang dan nilainya) untuk menandai permintaan yang melewati Anti-DDoS Proxy. Saat Anti-DDoS Proxy meneruskan traffic website, nilai bidang yang dikonfigurasi ditambahkan ke permintaan yang dikirim ke server origin Anda. Hal ini membantu layanan backend Anda menganalisis dan melacak traffic.

         • Batasan penamaan: Untuk menghindari menimpa bidang header permintaan asli, jangan gunakan nama bidang berikut yang merupakan bidang cadangan atau umum untuk header kustom Anda:

           • Bidang Bawaan Anti-DDoS Proxy:

             • X-Forwarded-ClientSrcPort: Digunakan secara default untuk mendapatkan port klien untuk akses mesin Layer 7.

             • X-Forwarded-ProxyPort: Digunakan secara default untuk mendapatkan port pendengar untuk akses mesin Layer 7.

             • X-Forwarded-For: Digunakan secara default untuk mendapatkan alamat IP klien untuk akses mesin Layer 7.

             • ssl_client_ja3_fingerprint_md5: Digunakan secara default untuk mendapatkan nilai hash MD5 sidik jari JA3 klien.

             • ssl_client_ja4_fingerprint_md5: Digunakan secara default untuk mendapatkan nilai hash MD5 sidik jari JA4 klien.

             • ssl_client_tls_fingerprint_md5: Digunakan secara default untuk mendapatkan nilai hash MD5 sidik jari TLS klien.

             • http2_client_fingerprint_md5: Digunakan secara default untuk mendapatkan nilai hash MD5 sidik jari HTTP/2.0 klien.

           • Bidang HTTP standar: Seperti host, user-agent, connection, dan upgrade.

           • Bidang proxy umum: Seperti x-real-ip, x-true-ip, x-client-ip, web-server-type, wl-proxy-client-ip, eagleeye-rpcid, eagleeye-traceid, x-forwarded-cluster, dan x-forwarded-proto.

         • Batasan jumlah: Anda dapat menambahkan hingga lima label header kustom.

         • Rekomendasi konfigurasi:

           • Gunakan tanda default terlebih dahulu.

           • Verifikasi konfigurasi bidang header di lingkungan staging sebelum menerapkannya ke lingkungan produksi.

           • Kami menyarankan agar nilai bidang tidak melebihi 100 karakter untuk menghindari dampak pada kinerja penerusan.

   • CNAME Reuse: Pilih apakah akan mengaktifkan penggunaan kembali CNAME. Setelah Anda mengaktifkan penggunaan kembali CNAME, Anda dapat menambahkan beberapa nama domain yang dihosting di server yang sama ke Anti-DDoS Pro dengan mengarahkan rekaman DNS-nya ke CNAME Anti-DDoS Pro yang sama. Anda tidak perlu menambahkan konfigurasi website terpisah untuk setiap nama domain. Untuk informasi lebih lanjut, lihat Penggunaan kembali CNAME.

     Penting

     Parameter ini hanya didukung oleh Anti-DDoS Pro (luar Tiongkok daratan).

   Pengaturan Lainnya

   • Enable HTTP Redirection of Back-to-origin Requests: Jika website Anda tidak mendukung HTTPS untuk origin fetch, Anda harus mengaktifkan pengaturan ini. Setelah Anda mengaktifkan pengaturan ini, semua permintaan HTTPS dikirim ke server origin melalui HTTP, dan semua permintaan Websockets dikirim melalui Websocket. Port origin default adalah 80.

     Catatan

     Jika Anda mengakses website melalui port HTTPS non-standar (selain 443) dan mengaktifkan HTTP untuk origin fetch, permintaan akses akan diarahkan ke port HTTP 80 server origin secara default.

   • HTTP/2.0 Origin: Setelah Anda mengaktifkan HTTP/2.0 untuk origin fetch, Anti-DDoS Pro menggunakan HTTP/2.0 untuk mengirim permintaan ke server origin.

     Peringatan

     • Untuk mengonfigurasi fitur ini, hubungi manajer akun Anda.

     • Jika server origin Anda tidak mendukung HTTP/2.0, jangan mengonfigurasi fitur ini. Jika tidak, website Anda menjadi tidak dapat diakses.

   • Cookie Settings

     • Delivery Status: Diaktifkan secara default. Anti-DDoS Pro menyisipkan cookie ke klien, seperti browser, untuk membedakan klien atau mendapatkan sidik jari klien. Untuk informasi lebih lanjut, lihat Konfigurasikan perlindungan flood HTTP.

       Penting

       Jika Anda mengalami kegagalan login atau kehilangan sesi setelah menambahkan aplikasi ke Anti-DDoS Pro, Anda dapat mencoba menonaktifkan sakelar ini. Perhatikan bahwa jika Anda menonaktifkan sakelar ini, beberapa fitur perlindungan flood HTTP menjadi tidak efektif.

     • Secure Attribute: Dinonaktifkan secara default. Jika Anda mengaktifkan atribut ini, cookie hanya dikirim melalui koneksi HTTPS, bukan koneksi HTTP. Hal ini membantu melindungi cookie dari pencurian.

       Catatan

       Kami menyarankan Anda mengaktifkan atribut ini jika layanan website Anda hanya mendukung koneksi HTTPS.

   • Configure New Connection Timeout Period: Waktu yang ditunggu Anti-DDoS Pro untuk membuat koneksi ke server origin.

     Catatan

     Jika koneksi tidak berhasil dibuat dalam periode ini, upaya tersebut dianggap gagal.

   • Configure Read Connection Timeout Period: Waktu maksimum yang ditunggu Anti-DDoS Pro untuk respons dari server origin setelah koneksi dibuat dan permintaan baca dikirim.

   • Configure Write Connection Timeout Period: Waktu yang ditunggu Anti-DDoS Pro setelah mengirim data dan sebelum server origin mulai memprosesnya.

     Catatan

     Jika Anti-DDoS Pro gagal mengirim semua data ke server origin atau server origin tidak mulai memproses data dalam periode ini, upaya tersebut dianggap gagal.

   • Back-to-origin Persistent Connections: Koneksi TCP antara server cache dan server origin tetap aktif selama periode tertentu alih-alih ditutup setelah setiap permintaan. Hal ini dapat membuang resource. Aktifkan Back-to-origin Persistent Connections untuk mengurangi waktu pembuatan koneksi dan konsumsi resource, serta meningkatkan efisiensi dan kecepatan pemrosesan permintaan.

     • Requests Reusing Persistent Connections: Jumlah permintaan HTTP yang dapat dikirim melalui satu koneksi TCP dari Anti-DDoS Pro ke server origin. Hal ini mengurangi latensi dan konsumsi resource akibat pembuatan dan penghentian koneksi yang sering.

       Catatan

       Kami menyarankan Anda menetapkan nilai ini kurang dari atau sama dengan jumlah permintaan per koneksi persisten yang dikonfigurasi di server origin backend, seperti instance WAF atau SLB. Hal ini mencegah ketidaktersediaan layanan akibat penghentian koneksi.

     • Timeout Period of Idle Persistent Connections: Waktu maksimum koneksi TCP persisten idle dari Anti-DDoS Pro ke server origin yang dapat tetap terbuka di kolam koneksi Anti-DDoS Pro. Jika tidak ada permintaan baru yang diterima dalam periode ini, koneksi ditutup untuk melepaskan resource sistem.

       Catatan

       Kami menyarankan Anda menetapkan nilai ini kurang dari atau sama dengan periode timeout yang dikonfigurasi di server origin backend, seperti instance WAF atau SLB. Hal ini mencegah ketidaktersediaan layanan akibat penghentian koneksi.

Langkah 2: Alihkan traffic website ke Anti-DDoS Pro atau Anti-DDoS Premium

Traffic website harus terlebih dahulu melewati Anti-DDoS Pro atau Anti-DDoS Premium untuk pembersihan sebelum diteruskan ke server origin. Hal ini memungkinkan Anti-DDoS Pro atau Anti-DDoS Premium melindungi website Anda dari serangan DDoS.

1. Tambahkan alamat IP kembali ke asal ke daftar putih: Di kebijakan keamanan server origin Anda, seperti firewall atau security group, tambahkan rentang alamat IP kembali ke asal Anti-DDoS Pro ke daftar putih. Hal ini mencegah traffic yang diteruskan dari Anti-DDoS Pro ke server origin Anda diblokir. Untuk informasi lebih lanjut, lihat Tambahkan alamat IP kembali ke asal Anti-DDoS Pro ke daftar putih.

2. Verifikasi konfigurasi secara lokal: Sebelum mengalihkan rekaman DNS, modifikasi file hosts lokal untuk memverifikasi bahwa konfigurasi penerusan berfungsi sebagaimana mestinya. Hal ini membantu mencegah gangguan layanan. Untuk informasi lebih lanjut, lihat Verifikasi pengaturan penerusan lalu lintas pada mesin lokal.

3. Alihkan rekaman DNS: Setelah verifikasi lokal berhasil, ubah rekaman DNS nama domain website Anda ke CNAME yang disediakan oleh Anti-DDoS Pro. Operasi ini mengalihkan traffic layanan Anda ke Anti-DDoS Pro untuk perlindungan. Untuk informasi lebih lanjut, lihat Gunakan CNAME atau alamat IP untuk meng-resolve nama domain ke instance Anti-DDoS Pro.

Langkah 3: Konfigurasikan kebijakan mitigasi

Setelah menambahkan website Anda, Anti-DDoS Pro atau Anti-DDoS Premium mengaktifkan Anti-DDoS Global Mitigation Policy, Intelligent Protection, dan Frequency Control secara default. Anda juga dapat mengaktifkan fitur perlindungan tambahan atau memodifikasi aturan perlindungan di tab Protection for Website Services.

1. Di halaman Website Config, temukan nama domain target dan klik Actions > Mitigation Settings.

2. Di tab Protection for Website Services, buat kebijakan mitigasi untuk nama domain target.

   Item Konfigurasi	Deskripsi
   Intelligent Protection	Diaktifkan secara default. Intelligent Protection menggunakan mesin analisis berbasis kecerdasan dan data besar untuk mempelajari pola traffic, mendeteksi serta memblokir jenis serangan banjir HTTP baru, dan menyesuaikan kebijakan secara dinamis guna memblokir permintaan berbahaya. Anda dapat mengubah mode dan tingkat perlindungan secara manual. Untuk informasi selengkapnya, lihat Use the intelligent protection feature.
   Anti-DDoS Global Mitigation Policy	Diaktifkan secara default. Anti-DDoS Pro atau Anti-DDoS Premium menyediakan tiga kebijakan mitigasi global bawaan yang diklasifikasikan berdasarkan intensitas pembersihan traffic. Kebijakan ini membantu Anda merespons serangan volumetrik secara langsung dan meningkatkan ketepatan waktu respons. Untuk informasi selengkapnya, lihat Configure the global mitigation policy.
   Blacklist and Whitelist	Setelah kebijakan ini diaktifkan, permintaan dari alamat IP atau blok CIDR dalam blacklist akan diblokir, sedangkan permintaan dari alamat IP atau blok CIDR dalam whitelist diizinkan tanpa melalui penyaringan oleh kebijakan mitigasi apa pun. Untuk informasi selengkapnya, lihat Configure blacklists and whitelists for domain names.
   Location Blacklist	Blokir semua permintaan akses website dari alamat IP yang berasal dari lokasi tertentu. Untuk informasi selengkapnya, lihat Configure a location blacklist for a domain name.
   Accurate Access Control	Konfigurasikan aturan kontrol akses kustom untuk menyaring permintaan berdasarkan bidang HTTP umum seperti IP, URI, Referer, User-Agent, dan parameter. Anda dapat mengizinkan, memblokir, atau memverifikasi permintaan yang sesuai dengan aturan tersebut. Untuk informasi selengkapnya, lihat Configure accurate access control rules.
   Frequency Control	Diaktifkan secara default. Batasi frekuensi akses dari satu alamat IP sumber ke website Anda. Frequency Control langsung berlaku setelah diaktifkan. Secara default, mode Normal digunakan untuk melindungi website Anda dari serangan banjir HTTP umum. Anda dapat mengubah mode perlindungan secara manual dan membuat aturan kustom untuk memperkuat perlindungan. Untuk informasi selengkapnya, lihat Configure frequency control.

Langkah 4: Lihat data perlindungan

Setelah menambahkan website Anda ke Anti-DDoS Pro atau Anti-DDoS Premium, gunakan laporan keamanan dan fitur log di konsol Anti-DDoS Pro atau Anti-DDoS Premium untuk melihat data perlindungan.

1. Di halaman Security Overview, lihat statistik untuk instance dan nama domain, serta detail serangan DDoS. Untuk informasi lebih lanjut, lihat Ikhtisar Keamanan.

2. Di halaman Operation Logs, lihat catatan operasi penting. Untuk informasi lebih lanjut, lihat Kueri log operasi.

3. Di halaman Log Analysis, lihat log untuk website Anda. Untuk informasi lebih lanjut, lihat Gunakan fitur analisis log.

   Catatan

   Fitur analisis log adalah layanan bernilai tambah. Untuk menggunakan layanan ini, Anda harus membeli dan mengaktifkannya. Setelah mengaktifkan analisis log, Alibaba Cloud Log Service mengumpulkan dan memelihara log untuk akses website dan serangan flood HTTP. Anda dapat mencari dan menganalisis data log secara real-time serta melihat hasilnya di dasbor. Untuk informasi lebih lanjut, lihat Apa itu Log Service?.

FAQ

• Setelah menambahkan website saya ke Anti-DDoS Pro atau Anti-DDoS Premium, pengguna melaporkan kegagalan login atau kehilangan sesi.

  Masalah ini kemungkinan disebabkan oleh fitur penyisipan cookie Anti-DDoS Pro atau Anti-DDoS Premium, yang digunakan untuk perlindungan flood HTTP. Coba nonaktifkan sakelar Delivery Status di Forwarding Settings > Cookie Settings.

  Peringatan

  Perhatikan bahwa menonaktifkan fitur ini memengaruhi efektivitas beberapa aturan perlindungan flood HTTP.

• Saya baru saja membeli instance. Apakah website saya sudah dilindungi sekarang?

  Tidak. Membeli instance hanyalah langkah pertama. Anda harus menyelesaikan konfigurasi Add Website di konsol dan memperbarui rekaman DNS domain Anda agar mengarah ke alamat CNAME yang disediakan oleh Anti-DDoS Pro atau Anti-DDoS Premium. Traffic website Anda baru dilindungi setelah perubahan DNS berlaku.