Anti-DDoS：Melindungi layanan situs web dengan menggunakan Proxy Anti-DDoS dan WAF

Catatan penggunaan

Permintaan dikirim ke beberapa server proxy perantara sebelum mencapai server asal. Server asal tidak dapat langsung mendapatkan alamat IP asal dari permintaan. Untuk informasi tentang cara mendapatkan alamat IP asal, lihat Mendapatkan Alamat IP Asal Permintaan.

Prasyarat

• Sebuah instance Proxy Anti-DDoS telah dibeli. Untuk informasi lebih lanjut, lihat Membeli Sebuah Instance Proxy Anti-DDoS.

• Sebuah instance WAF telah dibeli. Untuk informasi lebih lanjut, lihat Membeli Sebuah Instance WAF 3.0 Berlangganan atau Membeli Sebuah Instance WAF 3.0 Bayar Sesuai Penggunaan.

  Catatan

  Dalam topik ini, WAF 3.0 digunakan sebagai contoh. Jika Anda menggunakan WAF 2.0, Anda juga dapat merujuk pada langkah-langkah dalam topik ini.

Langkah 1: Menambahkan layanan situs web Anda ke WAF

Anda dapat menambahkan layanan situs web ke WAF dalam mode rekaman CNAME atau mode native cloud. Sebelum menambahkannya, kami sarankan Anda memahami skenario yang direkomendasikan untuk setiap mode. Untuk informasi lebih lanjut, lihat Ikhtisar.

1. Masuk ke Konsol WAF 3.0. Di bilah navigasi atas, pilih kelompok sumber daya dan wilayah instance WAF. Anda dapat memilih Chinese Mainland atau Outside Chinese Mainland.

2. Di panel navigasi kiri, klik Website Configuration.

3. Di tab CNAME Record atau Cloud Native, tambahkan layanan situs web Anda ke WAF.

   1. CNAME record mode

      1. Di tab CNAME Record, klik Add.

      2. Pada langkah Configure Listener, konfigurasikan parameter dan klik Next.

         Tabel berikut secara singkat menjelaskan parameter. Untuk informasi lebih lanjut tentang deskripsi rinci parameter, lihat Menambahkan Nama Domain ke WAF.

         Parameter	Deskripsi
         Domain Name	Masukkan nama domain layanan situs web Anda.
         Protocol Type	Pilih jenis protokol dan port yang digunakan oleh layanan situs web Anda. Tekan tombol Enter setiap kali Anda memasukkan nomor port. Catatan Jika Anda memilih HTTPS, Anda harus mengunggah sertifikat yang terkait dengan nama domain ke WAF. Setelah Anda memilih HTTPS dan mengonfigurasi sertifikat, Anda juga dapat menentukan apakah akan mengaktifkan HTTP/2, menghidupkan Pengaturan Rute HTTPS, memilih versi TLS, dan memilih paket sandi HTTPS.
         Whether Layer 7 Proxy, Such as Anti-DDoS Pro, Anti-DDoS Premium, or Alibaba Cloud CDN, Is Deployed in Front of WAF	Pilih Yes dan tentukan Obtain Actual IP Address of Client. Use the First IP Address in X-Forwarded-For Field as Actual IP Address of Client (default) Secara default, WAF menggunakan alamat IP pertama di bidang X-Forwarded-For sebagai alamat IP asal klien. [Recommended] Use the First IP Address in Specified Header Field as Actual IP Address of Client to Prevent X-Forwarded-For Forgery Jika Anda menggunakan proxy yang berisi alamat IP asal klien di bidang header kustom, seperti X-Client-IP atau X-Real-IP, pilih nilai ini. Kemudian, masukkan bidang header kustom di bidang Header Field. Catatan Kami merekomendasikan Anda menggunakan bidang header kustom untuk menyimpan alamat IP asal klien dan menentukan bidang header di WAF. Dengan cara ini, penyerang tidak dapat memalsukan bidang X-Forwarded-For untuk melewati perlindungan WAF. Ini meningkatkan keamanan bisnis Anda.
         More Settings	Tentukan apakah akan mengaktifkan IPv6 dan alamat IP eksklusif, serta pilih jenis sumber daya perlindungan yang ingin Anda gunakan berdasarkan kebutuhan bisnis Anda.
         Resource Group	Pilih kelompok sumber daya tempat Anda ingin menambahkan nama domain dari daftar drop-down. Jika Anda tidak memilih kelompok sumber daya, nama domain ditambahkan ke default resource group.

      3. Pada langkah Configure Forwarding Rule, atur parameter yang diperlukan, lalu klik Submit.

      Parameter	Deskripsi
      Load Balancing Algorithm	Jika server asal memiliki beberapa alamat, pilih algoritma penyeimbangan beban berdasarkan kebutuhan bisnis Anda.
      Origin Server Address	Masukkan alamat IP publik atau nama domain server asal. Alamat IP atau nama domain digunakan untuk menerima permintaan balik ke asal yang diteruskan oleh WAF.
      Advanced HTTPS Settings	Tentukan apakah akan memilih Permintaan Balik ke Asal Ulang dan Aktifkan Tanda Lalu Lintas berdasarkan kebutuhan bisnis Anda.
      Other Advanced Settings	Tentukan apakah akan memilih Aktifkan Tanda Lalu Lintas dan Permintaan Balik ke Asal Ulang, aktifkan Permintaan Tetap Hidup Balik ke Asal, dan konfigurasikan parameter Periode Timeout Koneksi berdasarkan kebutuhan bisnis Anda.

      4. Pada langkah Add Completed, dapatkan CNAME yang disediakan oleh WAF.

   2. Cloud native mode

      Untuk informasi lebih lanjut, lihat Mode Native Cloud.

      Jika Anda menggunakan layanan Alibaba Cloud berikut untuk layanan situs web Anda, kami sarankan Anda menambahkan layanan situs web Anda ke WAF dalam mode modul SDK: Application Load Balancer (ALB), Microservices Engine (MSE), dan Function Compute. Jika Anda menggunakan Classic Load Balancer (CLB) atau ECS untuk layanan situs web Anda, kami sarankan Anda menambahkan layanan situs web Anda ke WAF dalam mode kluster reverse proxy.

Langkah 2: Menambahkan layanan situs web Anda ke Proxy Anti-DDoS

1. Masuk ke Konsol Proxy Anti-DDoS.

2. Di bilah navigasi atas, pilih wilayah instance Anda.

   • Proxy Anti-DDoS (Tiongkok Daratan): Pilih wilayah Tiongkok Daratan.

   • Proxy Anti-DDoS (Luar Tiongkok Daratan): Pilih wilayah Luar Tiongkok Daratan.

3. Di panel navigasi kiri, pilih Provisioning > Website Config.

4. Di halaman Website Config, klik Add Website. Masukkan informasi yang diperlukan dan klik Next.

   Parameter	Deskripsi
   Function Plan	Pilih paket fungsi instance Proxy Anti-DDoS yang ingin Anda gunakan.
   Instance	Pilih instance Proxy Anti-DDoS yang ingin Anda gunakan. Anda dapat menghubungkan hingga delapan instance dengan nama domain. Instance yang terhubung dengan nama domain harus menggunakan Function Plan yang sama.
   Websites	Masukkan nama domain layanan situs web Anda.
   Protocol Type	Pilih jenis protokol layanan situs web Anda. Catatan Jika Anda memilih HTTPS, Anda harus mengunggah sertifikat yang digunakan oleh nama domain layanan situs web Anda. Setelah Anda memilih HTTPS, Anda dapat mengaktifkan Pengalihan HTTPS, Pengalihan HTTP Permintaan Balik ke Asal, dan Pengalihan HTTP/2 berdasarkan kebutuhan bisnis Anda. Untuk informasi lebih lanjut tentang mengunggah sertifikat, menyesuaikan kebijakan keamanan, dan mengaktifkan OCSP Stapling, lihat Tambahkan satu atau lebih situs web.
   Server Address	Jika Anda menambahkan nama domain ke WAF dalam mode rekaman CNAME, pilih Origin Domain Name dan masukkan CNAME yang diperoleh di Langkah 1. Jika Anda menambahkan nama domain layanan situs web Anda ke WAF dalam mode native cloud, pilih Origin IP Address dan masukkan alamat IP publik server asal.
   Server Port	Port server yang Anda tentukan berdasarkan nilai Protocol Type. Jika Anda memilih HTTP atau Websocket, port default 80 digunakan. Jika Anda memilih HTTPS, HTTP/2, atau Websockets, port default 443 digunakan. Anda dapat mengklik Custom untuk memasukkan port kustom. Pisahkan beberapa port dengan koma (,).
   CNAME Reuse	Menentukan apakah akan mengaktifkan penggunaan kembali CNAME. Parameter ini hanya tersedia untuk Proxy Anti-DDoS (Luar Tiongkok Daratan). Untuk informasi lebih lanjut, lihat Gunakan fitur penggunaan kembali CNAME.

5. Konfigurasikan pengaturan penerusan, lalu klik Next.

   Parameter	Deskripsi
   Back-to-origin Scheduling Algorithm	Algoritma penyeimbangan beban untuk permintaan balik ke asal. Jika beberapa alamat server asal dikonfigurasi, parameter ini diperlukan. Alamat server asal dapat berupa alamat IP atau nama domain. Anda dapat mengubah algoritma penyeimbangan beban untuk permintaan balik ke asal atau menentukan bobot untuk alamat server. Round-robin (Default): Semua permintaan didistribusikan ke semua alamat server secara bergantian. Secara default, semua alamat server memiliki bobot yang sama. Anda dapat mengubah bobot server. Semakin tinggi bobot server, semakin besar kemungkinan permintaan diteruskan ke server tersebut. Ini cocok untuk skenario di mana beberapa server asal digunakan dan ada persyaratan tinggi untuk distribusi beban seragam di seluruh server asal. IP hash: Mendukung pengaturan IP hash sambil juga mengonfigurasi bobot untuk server. Opsi IP hash memungkinkan permintaan dari klien yang sama diteruskan ke server yang sama dalam periode waktu tertentu, memastikan konsistensi sesi. Dikombinasikan dengan mode bobot, bobot ditetapkan sesuai dengan kemampuan pemrosesan server, memastikan server berperforma tinggi menangani lebih banyak permintaan, mengoptimalkan efisiensi pemanfaatan sumber daya. Ini cocok untuk skenario yang memerlukan pemeliharaan konsistensi sesi pengguna. Namun, dalam kasus ekstrem, mungkin terjadi distribusi beban yang tidak merata. Least time: Melalui kemampuan resolusi DNS cerdas dan algoritma balik ke asal Waktu Paling Singkat, ini memastikan bahwa lalu lintas bisnis memiliki latensi terpendek di seluruh tautan dari node perlindungan hingga kembali ke server asal.
   Traffic Marking	Port Asal Nama header HTTP yang berisi port asal klien. Dalam kebanyakan kasus, header X-Forwarded-ClientSrcPort digunakan untuk mencatat port asal klien. Jika Anda menggunakan header kustom untuk mencatat port asal klien, tentukan header kustom untuk Port Asal. Setelah Proxy Anti-DDoS meneruskan permintaan balik ke asal ke server asal Anda, server asal Anda mengurai header kustom untuk mendapatkan port asal klien. Langkah-langkah untuk mendapatkan port asal klien mirip dengan langkah-langkah untuk mendapatkan alamat IP asal klien. Untuk informasi lebih lanjut, lihat Mendapatkan alamat IP asal permintaan. Alamat IP Asal Nama header HTTP yang berisi alamat IP asal klien. Dalam kebanyakan kasus, header X-Forwarded-For digunakan untuk mencatat alamat IP asal klien. Jika Anda menggunakan header kustom untuk mencatat alamat IP asal klien, tentukan header kustom untuk Alamat IP Asal. Setelah Proxy Anti-DDoS meneruskan permintaan balik ke asal ke server asal Anda, server asal Anda mengurai header kustom untuk mendapatkan alamat IP asal klien. Header Kustom Anda dapat menambahkan header HTTP kustom ke permintaan yang melewati Proxy Anti-DDoS untuk menandai permintaan. Untuk menambahkan header HTTP kustom, tentukan nama header dan nilai. Setelah Anda membuat header kustom, Proxy Anti-DDoS menambahkan header kustom ke permintaan balik ke asal. Dengan cara ini, server backend dapat melakukan analisis statistik pada permintaan balik ke asal. Jangan gunakan header default berikut sebagai header kustom: X-Forwarded-ClientSrcPort: Header ini digunakan untuk mendapatkan port asal klien yang mengakses Proxy Anti-DDoS (proxy Lapisan 7). X-Forwarded-ProxyPort: Header ini digunakan untuk mendapatkan port pendengar yang mengakses Proxy Anti-DDoS (proxy Lapisan 7). X-Forwarded-For: Header ini digunakan untuk mendapatkan alamat IP asal klien yang mengakses Proxy Anti-DDoS (proxy Lapisan 7). Jangan gunakan header HTTP standar (seperti Host, User-Agent, Connection, dan Upgrade) atau header HTTP kustom yang banyak digunakan (seperti X-Real-IP, X-True-IP, X-Client-IP, Web-Server-Type, WL-Proxy-Client-IP, EagleEye-RPCID, EagleEye-TraceID, X-Forwarded-Cluster, dan X-Forwarded-Proto). Jika Anda menggunakan header di atas, header asli akan ditimpa. Anda dapat menambahkan hingga lima header HTTP kustom.
   Cookie Settings	Status Pengiriman Secara default, saklar ini dihidupkan. Saat diaktifkan, Proxy Anti-DDoS menyisipkan cookie ke klien (seperti browser) untuk membedakan antara klien yang berbeda atau untuk mendapatkan informasi sidik jari klien. Untuk informasi lebih lanjut, lihat Konfigurasikan fitur mitigasi serangan HTTP flood. Penting Jika Anda ingin menghentikan Proxy Anti-DDoS menyisipkan cookie ke layanan Anda, Anda dapat mematikan saklar ini. Namun, menonaktifkan opsi ini akan mencegah Proxy Anti-DDoS secara aktif menilai dan mempertahankan diri terhadap serangan HTTP flood melalui aturan mitigasi serangan HTTP flood. Atribut Aman Atribut Aman dinonaktifkan secara default. Jika diaktifkan, cookie hanya akan dikirim melalui koneksi HTTPS, bukan melalui koneksi HTTP, yang membantu melindungi cookie dari pencurian oleh penyerang. Kami merekomendasikan mengaktifkan opsi ini jika situs web Anda hanya mendukung koneksi HTTPS.
   Other Settings	Configure New Connection Timeout Period: periode timeout untuk membangun koneksi. Jika Proxy Anti-DDoS gagal membangun koneksi ke server asal dalam periode timeout yang ditentukan, permintaan koneksi gagal. Nilai valid: 1 hingga 10. Unit: detik. Configure Read Connection Timeout Period: periode timeout untuk memproses permintaan baca. Jika server asal gagal merespons permintaan baca yang dikirim oleh Proxy Anti-DDoS melalui koneksi yang telah dibuat dalam periode timeout yang ditentukan, permintaan baca gagal. Nilai valid: 10 hingga 300. Unit: detik. Configure Write Connection Timeout Period: periode timeout untuk memproses permintaan tulis. Jika Proxy Anti-DDoS gagal mengirim semua data ke server asal atau server asal gagal mulai memproses data dalam periode timeout yang ditentukan, permintaan tulis gagal. Nilai valid: 10 hingga 300. Unit: detik. Retry Back-to-origin Requests: Jika Anda menghidupkan saklar dan sumber daya yang diminta oleh Proxy Anti-DDoS tidak dapat diambil dari server cache, server cache mengambil sumber daya dari server cache tingkat atas atau server asal. Back-to-origin Persistent Connections: Jika Anda menghidupkan saklar, koneksi TCP antara server cache dan server asal tetap aktif selama periode waktu tertentu. Koneksi tidak ditutup setiap kali permintaan selesai. Ini membantu mengurangi waktu dan sumber daya yang diperlukan untuk membangun koneksi dan meningkatkan efisiensi serta kecepatan pemrosesan permintaan. Requests Reusing Persistent Connections: jumlah maksimum permintaan HTTP yang dapat dikirim oleh Proxy Anti-DDoS ke server asal melalui koneksi TCP. Penggunaan koneksi persisten membantu mengurangi latensi dan konsumsi sumber daya yang disebabkan ketika Anda sering membangun dan menutup koneksi. Nilai valid: 10 hingga 1000. Kami merekomendasikan Anda menentukan nilai kurang dari atau sama dengan jumlah permintaan menggunakan koneksi persisten yang dikonfigurasi pada server asal, seperti instance WAF atau SLB. Ini membantu mencegah ketidaktersediaan layanan karena kegagalan koneksi persisten. Timeout Period of Idle Persistent Connections: periode timeout untuk koneksi TCP persisten idle yang dibangun oleh Proxy Anti-DDoS ke server asal. Jika data tidak ditransmisikan melalui koneksi TCP terbuka di kolam koneksi Proxy Anti-DDoS, koneksi TCP dianggap idle. Jika tidak ada permintaan baru yang dimulai melalui koneksi TCP idle dalam periode timeout yang ditentukan, koneksi ditutup untuk melepaskan sumber daya sistem. Nilai valid: 10 hingga 30. Unit: detik. Kami merekomendasikan Anda menentukan nilai kurang dari atau sama dengan periode timeout yang dikonfigurasi pada server asal, seperti instance WAF atau SLB. Ini membantu mencegah ketidaktersediaan layanan karena kegagalan koneksi persisten. Upper Limit for HTTP/2 Streams: jumlah maksimum stream HTTP/2 yang diizinkan antara klien dan Proxy Anti-DDoS. Fitur ini hanya tersedia saat menggunakan HTTP/2. Nilai valid: 16 hingga 32. Jika Anda ingin menentukan nilai lebih besar, hubungi manajer akun Anda.

6. Salin CNAME yang disediakan oleh Proxy Anti-DDoS.

Langkah 3: Modifikasi rekaman DNS nama domain

Anda harus menyelesaikan nama domain layanan situs web Anda ke CNAME yang disediakan oleh Proxy Anti-DDoS. Dalam contoh berikut, sebuah nama domain dihosting di Alibaba Cloud DNS (DNS). Jika Anda menggunakan layanan DNS pihak ketiga, langkah-langkah berikut hanya untuk referensi.

1. Masuk ke Konsol DNS.

2. Di halaman Domain Name Resolution, temukan nama domain yang ingin Anda kelola dan klik DNS Settings di kolom Actions.

3. Di halaman DNS Settings, temukan rekaman DNS yang ingin Anda kelola dan klik Modify di kolom Actions.

   Catatan

   Jika Anda tidak dapat menemukan rekaman DNS yang ingin Anda ubah dalam daftar, Anda dapat mengklik Add DNS Record untuk menambahkan rekaman.

4. Di panel Modify DNS Record (atau Add DNS Record), pilih CNAME untuk Record Type dan atur Record Value ke CNAME yang diperoleh di Langkah 2.

5. Klik OK dan tunggu pengaturan berlaku.

6. Periksa apakah layanan situs web Anda dapat diakses dari browser.

Referensi

• Untuk informasi lebih lanjut tentang cara menambahkan nama domain ke WAF 2.0 dalam mode rekaman CNAME dan mode proxy transparan, lihat Tambahkan Nama Domain dan Mode Proxy Transparan.

• Untuk informasi lebih lanjut tentang cara menangani pengecualian yang mungkin terjadi saat Anda mengakses layanan situs web Anda setelah memodifikasi rekaman DNS, lihat Bagaimana Cara Menangani Masalah Respons Lambat, Latensi Tinggi, dan Kegagalan Akses pada Layanan Saya yang Dilindungi oleh Instance Proxy Anti-DDoS?.

• Untuk informasi lebih lanjut tentang cara menerapkan Proxy Anti-DDoS dan CDN bersama-sama, lihat Gunakan Fitur Interaksi CDN atau DCDN.