全部产品
Search

搜索本产品

    Anti-DDoS:Tambahkan konfigurasi situs web

    文档中心

    Anti-DDoS:Tambahkan konfigurasi situs web

    更新时间:Nov 11, 2025

    Setelah menambahkan nama domain situs web ke Anti-DDoS Pro dan Anti-DDoS Premium, sistem akan menghasilkan CNAME untuk situs web tersebut. Anda harus mengarahkan rekam DNS nama domain ke CNAME ini agar Anti-DDoS Pro dan Anti-DDoS Premium dapat meneruskan lalu lintas layanan serta melindungi situs web dari serangan DDoS. Topik ini menjelaskan cara menambahkan konfigurasi situs web.

    Catatan penggunaan

    • Situs web yang ditambahkan ke Anti-DDoS Pro dan Anti-DDoS Premium (Daratan Tiongkok) harus memiliki pendaftaran ICP. Situs web yang ditambahkan ke Anti-DDoS Pro dan Anti-DDoS Premium (luar Daratan Tiongkok) tidak memiliki persyaratan ini.

      Catatan

      • Anti-DDoS Pro dan Anti-DDoS Premium (Daratan Tiongkok) secara berkala memeriksa status pendaftaran ICP untuk nama domain yang dilindungi. Jika pendaftaran ICP suatu nama domain menjadi tidak valid, layanan akan berhenti meneruskan lalu lintas untuk nama domain tersebut. Pesan "Nama domain belum menyelesaikan pendaftaran ICP. Perbarui status pendaftaran ICP sesegera mungkin." akan muncul di halaman Website Config. Untuk melanjutkan penerusan lalu lintas, Anda harus memperbarui informasi pendaftaran ICP untuk nama domain tersebut.

      • Jika server asal Anda merupakan layanan Alibaba Cloud, Anda harus memenuhi persyaratan pendaftaran ICP baik untuk Anti-DDoS Pro dan Anti-DDoS Premium (Daratan Tiongkok) maupun layanan Alibaba Cloud asal. Jika tidak, penerusan lalu lintas kembali-ke-asal akan terpengaruh. Untuk informasi lebih lanjut, lihat dokumentasi resmi setiap layanan Alibaba Cloud atau hubungi helpdesk. Misalnya, jika server asal Anda adalah instance ECS, Anda harus menyelesaikan pendaftaran ICP untuk instance ECS tersebut. Untuk informasi lebih lanjut, lihat Periksa server pendaftaran dan Proses pendaftaran ICP.

    • Nama domain dan konfigurasi penerusan port akan dihapus secara otomatis satu bulan setelah semua instance Anti-DDoS Proxy di bawah akun Alibaba Cloud Anda dilepas. Jika Anda memiliki beberapa instance Anti-DDoS Proxy, nama domain dan konfigurasi penerusan port akan dihapus secara otomatis satu bulan setelah instance terakhir dilepas.

    Prasyarat

    • Instance Anti-DDoS Proxy (Daratan Tiongkok) atau Anti-DDoS Proxy (Luar Daratan Tiongkok) telah dibeli. Untuk informasi lebih lanjut, lihat Beli instance Anti-DDoS Pro atau Anti-DDoS Premium.

    • Untuk menambahkan situs web ke instance Anti-DDoS Pro atau Anti-DDoS Premium di Daratan Tiongkok, pastikan bahwa pendaftaran ICP untuk nama domain situs web telah selesai.

    Tambahkan konfigurasi situs web

    1. Masuk ke halaman Website Config di konsol Anti-DDoS Proxy.

    2. Di bilah navigasi atas, pilih wilayah instance Anda.

      • Anti-DDoS Proxy (Daratan Tiongkok): Pilih wilayah Daratan Tiongkok.

      • Anti-DDoS Proxy (Luar Daratan Tiongkok): Pilih wilayah Luar Daratan Tiongkok.

    3. Di halaman Website Config, klik Add Website.

      Catatan

      Anda juga dapat mengklik Batch Import di bagian bawah halaman untuk mengimpor konfigurasi situs web secara batch dari file XML. Untuk informasi lebih lanjut tentang format file, lihat Operasi lainnya.

      1. Masukkan informasi akses untuk situs web dan klik Next.

        Item Konfigurasi

        Deskripsi

        Function Plan

        Pilih paket fungsi instance Anti-DDoS Pro atau Anti-DDoS Premium yang ingin Anda kaitkan. Opsi: Standard dan Enhanced.

        Catatan

        Anda dapat mengarahkan kursor ke ikon Description of Function Plan di samping Function Plan untuk melihat perbedaan fitur antara paket fungsi Standard dan Enhanced. Untuk informasi lebih lanjut, lihat Perbedaan antara paket fungsi Standard dan Enhanced.

        Instance

        Pilih instance Anti-DDoS Pro atau Anti-DDoS Premium yang akan dikaitkan.

        Anda dapat mengaitkan satu nama domain dengan hingga delapan instance. Instance-instance tersebut harus menggunakan Function Plan yang sama.

        Websites

        Masukkan nama domain situs web yang ingin Anda lindungi. Nama domain harus memenuhi persyaratan berikut:

        • Nama domain dapat berisi huruf (a hingga z dan A hingga Z), angka (0 hingga 9), dan tanda hubung (-). Nama domain harus dimulai dengan huruf atau angka.

        • Anda dapat memasukkan nama domain wildcard, seperti *.aliyundoc.com. Jika Anda memasukkan nama domain wildcard, Anti-DDoS Pro dan Anti-DDoS Premium secara otomatis mencocokkan subdomain dari nama domain wildcard tersebut.

        Catatan

        • Jika nama domain wildcard dan nama domain yang cocok persis dikonfigurasi bersamaan, seperti *.aliyundoc.com dan www.aliyundoc.com, Anti-DDoS Pro dan Anti-DDoS Premium memberikan prioritas pada aturan pengalihan dan kebijakan mitigasi yang dikonfigurasi untuk nama domain yang cocok persis, yaitu www.aliyundoc.com.

        • Jika Anda memasukkan nama domain tingkat pertama, Anti-DDoS Pro dan Anti-DDoS Premium hanya melindungi nama domain tingkat pertama tersebut. Subdomain seperti domain tingkat kedua tidak dilindungi. Jika Anda ingin melindungi domain tingkat kedua, masukkan domain tingkat kedua tersebut atau nama domain wildcard.

        • Anda hanya dapat menentukan nama domain. Alamat IP situs web tidak didukung.

        Protocol Type

        Pilih protokol yang didukung oleh situs web. Opsi:

        • HTTP: dipilih secara default.

        • HTTPS: Jika situs web mendukung enkripsi dan otentikasi HTTPS, pilih protokol ini dan lengkapi konfigurasi berikut.

          Unggah sertifikat HTTP internasional

          Unggah sertifikat agar Anti-DDoS Pro dan Anti-DDoS Premium dapat membersihkan lalu lintas layanan HTTPS.

          • Upload: Tentukan Certificate Name, lalu tempel konten file sertifikat ke bidang Certificate File, dan konten file kunci privat ke bidang Private Key.

            Catatan

            • Jika file sertifikat dalam format PEM, CER, atau CRT, buka file tersebut di editor teks dan salin isinya. Untuk format lain seperti PFX atau P7B, konversi file ke format PEM terlebih dahulu, lalu salin isinya. Untuk informasi tentang cara mengonversi format file sertifikat, lihat Mengonversi format sertifikat atau Bagaimana cara mengonversi sertifikat SSL ke format PEM?

            • Jika file mencakup beberapa sertifikat (seperti rantai sertifikat), gabungkan isinya dan tempel konten gabungan ke bidang Certificate File.

          • Select Existing Certificate: Jika Anda telah mengajukan sertifikat dari Certificate Management Service (Original SSL Certificate) atau telah mengunggah sertifikat ke Layanan Manajemen Sertifikat, Anda dapat langsung memilih sertifikat tersebut.

          Kebijakan keamanan TLS kustom

          Untuk informasi lebih lanjut, lihat Konfigurasikan kebijakan keamanan TLS untuk sertifikat HTTPS.

          1. TLS Version For HTTPS Certificate:

            Pilih versi TLS yang didukung oleh sertifikat yang menggunakan algoritma standar internasional. Opsi:

            • TLS 1.0 And Later, Best Compatibility, Low Security: mendukung TLS 1.0, TLS 1.1, dan TLS 1.2.

            • TLS 1.1 And Later, Good Compatibility, Good Security: mendukung TLS 1.1 dan TLS 1.2.

            • TLS 1.2 And Later, Good Compatibility, High Security: mendukung TLS 1.2.

            Anda juga dapat memilih Enable TLS 1.3 sesuai kebutuhan.

          2. Cipher Suite For HTTPS Certificate:

            Pilih paket sandi yang didukung oleh sertifikat yang menggunakan algoritma standar internasional, atau pilih paket sandi kustom. Anda dapat mengarahkan kursor ke ikon 问号 pada opsi paket sandi untuk melihat paket sandi yang termasuk dalam opsi tersebut.

          Aktifkan otentikasi timbal balik

          Untuk melakukan otentikasi TLS timbal balik antara klien dan Anti-DDoS Pro serta Anti-DDoS Premium, unggah sertifikat CA root atau CA perantara yang menerbitkan sertifikat klien ke Anti-DDoS Pro dan Anti-DDoS Premium. Sertifikat CA yang diterbitkan oleh Alibaba Cloud maupun yang tidak diterbitkan oleh Alibaba Cloud didukung.

          • Issued By Alibaba Cloud: Di daftar tarik-turun Select Default CA Certificate, pilih sertifikat CA yang diterbitkan oleh Certificate Management Service (Original SSL Certificate) Alibaba Cloud.

          • Not Issued By Alibaba Cloud:

            1. Unggah sertifikat CA yang ditandatangani sendiri ke Certificate Management Service (Original SSL Certificate). Untuk informasi lebih lanjut, lihat Unggah sertifikat ke repositori (unggah sertifikat).

            2. Di daftar tarik-turun Select Default CA Certificate, pilih sertifikat CA yang ditandatangani sendiri yang telah diunggah.

          Enable OCSP Stapling

          Tentukan apakah akan mengaktifkan fitur Protokol Status Sertifikat Online (OCSP). Kami menyarankan Anda mengaktifkan fitur ini.

          OCSP adalah protokol internet yang digunakan untuk mengirim permintaan kueri ke Certificate Authority (CA) yang menerbitkan sertifikat server guna memeriksa apakah sertifikat tersebut telah dicabut. Selama proses jabat tangan TLS, klien harus memperoleh sertifikat dan respons OCSP yang sesuai.

          • Disabled (default): Browser klien mengirim kueri OCSP ke CA. Ini memblokir peristiwa selanjutnya hingga klien menerima respons OCSP. Jika kondisi jaringan buruk, hal ini dapat menyebabkan latensi pemuatan halaman yang lama dan menurunkan kinerja HTTPS.

          • Enabled: Anti-DDoS Pro dan Anti-DDoS Premium melakukan kueri OCSP dan menyimpan hasil kueri dalam cache selama 3.600 detik. Ketika klien mengirim permintaan jabat tangan TLS ke server, Anti-DDoS Pro dan Anti-DDoS Premium mengirim informasi OCSP dari sertifikat server bersama dengan rantai sertifikat ke klien. Ini mencegah masalah pemblokiran yang disebabkan oleh kueri klien. Proses ini tidak menimbulkan masalah keamanan tambahan karena respons OCSP tidak dapat dipalsukan.

          HTTPS berbasis sertifikat SM

          Hanya instance Anti-DDoS Pro dan Anti-DDoS Premium di daratan Tiongkok yang mendukung sertifikat SM. Hanya algoritma SM2 yang didukung.

          Catatan

          Anti-DDoS Pro dan Anti-DDoS Premium (daratan Tiongkok) telah diverifikasi untuk memproses permintaan SM dari browser 360 dan browser Honglianhua.

          • Allow Access Only from SM Certificate-based Clients: Sakelar ini dimatikan secara default.

            • Aktif: Hanya memproses permintaan dari klien yang telah menginstal sertifikat SM. 

              Catatan

              Jika diaktifkan, konfigurasi suite TLS, otentikasi timbal balik, dan pengikatan OCSP untuk sertifikat yang menggunakan algoritma standar internasional tidak akan berlaku.

            • Nonaktif: Memproses permintaan dari klien yang telah menginstal sertifikat SM dan klien yang menggunakan sertifikat berbasis algoritma standar internasional.

          • SM Certificate: Anda harus mengunggah sertifikat SM ke Layanan Manajemen Sertifikat sebelum memilihnya.

          • SM Cipher Suites for HTTPS Support: Paket sandi berikut diaktifkan secara default dan tidak dapat diubah.

            • ECC-SM2-SM4-CBC-SM3

            • ECC-SM2-SM4-GCM-SM3

            • ECDHE-SM2-SM4-CBC-SM3

            • ECDHE-SM2-SM4-GCM-SM3

        • Websocket: Jika Anda memilih protokol ini, protokol HTTP akan dipilih secara otomatis. Anda tidak dapat memilih hanya protokol Websocket.

        • Websockets: Jika Anda memilih protokol ini, protokol HTTPS akan dipilih secara otomatis. Anda tidak dapat memilih hanya protokol Websockets.

        Setelah Anda memilih protokol HTTPS, Anda dapat mengaktifkan pengaturan lanjutan berikut sesuai kebutuhan.

        • Enable HTTPS Redirection: Pengaturan ini berlaku untuk situs web yang mendukung HTTP dan HTTPS. Setelah Anda mengaktifkan pengaturan ini, semua permintaan HTTP akan dikonversi secara paksa menjadi permintaan HTTPS dan diarahkan ke port 443 secara default.

          Penting

          • Anda hanya dapat mengaktifkan pengaturan ini ketika protokol HTTP dan HTTPS keduanya dipilih dan protokol Websocket tidak dipilih.

          • Jika Anda mengakses situs web melalui port HTTP non-standar (selain port 80) dan mengaktifkan pengalihan paksa ke HTTPS, permintaan akses akan diarahkan ke port HTTPS 443 secara default.

        • Enable HTTP Redirection of Back-to-origin Requests: Jika situs web tidak mendukung HTTPS untuk lalu lintas kembali-ke-asal, Anda harus mengaktifkan pengaturan ini. Setelah Anda mengaktifkan pengaturan ini, semua permintaan HTTPS akan dikirim ke server asal melalui HTTP, dan semua permintaan Websockets akan dikirim ke server asal melalui Websocket. Secara default, port kembali-ke-asal adalah 80.

          Penting

          Jika Anda mengakses situs web melalui port HTTPS non-standar (selain port 443) dan mengaktifkan HTTP untuk lalu lintas kembali-ke-asal, permintaan akses akan diarahkan ke server asal melalui port HTTP 80 secara default.

        • Enable HTTP/2: Jika Anda mengaktifkan fitur ini, klien HTTP/2.0 dapat mengakses Anti-DDoS Pro dan Anti-DDoS Premium. Namun, Anti-DDoS Pro dan Anti-DDoS Premium tetap menggunakan HTTP/1.1 untuk mengirim permintaan ke server asal.

          Spesifikasi fitur HTTP/2.0

          • Waktu tunggu idle setelah koneksi ditutup (http2_idle_timeout): 120 detik

          • Jumlah maksimum permintaan per koneksi (http2_max_requests): 1.000

          • Jumlah maksimum stream konkuren per koneksi (http2_max_concurrent_streams): 4

          • Ukuran maksimum seluruh daftar header permintaan setelah dekompresi HPACK (http2_max_header_size): 256K

          • Ukuran maksimum bidang header permintaan yang dikompresi HPACK (http2_max_field_size): 64K

        Server Address

        Pilih jenis alamat server asal dan masukkan alamat server asal.

        Catatan

        Server asal dapat berupa layanan Alibaba Cloud atau layanan yang tidak di-hosting di Alibaba Cloud. Jika server asal adalah layanan Alibaba Cloud, pastikan layanan tersebut milik akun Alibaba Cloud Anda. Jika layanan tersebut milik akun Alibaba Cloud lain, hubungi manajer bisnis Anda sebelum menambahkan layanan tersebut.

        • Origin IP Address: alamat IP server asal. Anda dapat memasukkan hingga 20 alamat IP asal. Pisahkan beberapa alamat IP dengan koma (,).

          • Jika server asal adalah instance ECS di Alibaba Cloud, masukkan alamat IP publik instance ECS tersebut. Jika instance SLB ditempatkan sebelum instance ECS, masukkan alamat IP publik instance SLB tersebut.

          • Jika server asal berada di pusat data yang tidak ditempatkan di Alibaba Cloud atau di-hosting di penyedia layanan cloud lain, Anda dapat menjalankan perintah ping domain name untuk menanyakan alamat IP publik tempat nama domain tersebut diselesaikan. Kemudian, masukkan alamat IP publik yang diperoleh.

        • Origin Domain Name: Opsi ini cocok untuk skenario di mana layanan proxy lain, seperti Web Application Firewall (WAF), ditempatkan di antara server asal dan Anti-DDoS Pro serta Anti-DDoS Premium. Nilai parameter ini menunjukkan alamat pengalihan layanan proxy. Anda dapat memasukkan hingga 10 nama domain asal. Pisahkan beberapa nama domain dengan jeda baris.

          Sebagai contoh, untuk menerapkan WAF setelah Anda menerapkan instance Anti-DDoS Pro atau Anti-DDoS Premium guna meningkatkan keamanan aplikasi, Anda dapat memilih Origin Domain Name dan memasukkan CNAME WAF. Untuk informasi lebih lanjut, lihat Tingkatkan perlindungan situs web dengan menerapkan Anti-DDoS Pro atau Anti-DDoS Premium bersama WAF.

          Penting

          Jika Anda mengatur Origin Domain Name ke titik akhir publik default bucket OSS, Anda harus menyambungkan nama domain kustom ke bucket tersebut. Untuk informasi lebih lanjut, lihat Menyambungkan nama domain kustom.

        Server Port

        Berdasarkan Protocol Type, atur port tempat server asal menyediakan layanan yang sesuai.

        • Port default untuk protokol HTTP dan Websocket adalah 80.

        • Port default untuk protokol HTTPS, HTTP2, dan Websockets adalah 443.

        Anda dapat menentukan port server kustom. Pisahkan beberapa port dengan koma (,). Batasan berikut berlaku:

        • Port kustom harus berada dalam rentang port yang diizinkan.

          • Rentang port protokol HTTP: 80 hingga 65.535.

          • Rentang port protokol HTTPS: 80 hingga 65.535.

        • Jumlah total port kustom untuk semua layanan situs web yang dilindungi oleh instance Anti-DDoS Pro atau Anti-DDoS Premium tidak boleh melebihi 10. Ini termasuk port kustom untuk protokol yang berbeda.

          Sebagai contoh, Anda memiliki dua situs web, A dan B. Situs web A menyediakan layanan HTTP dan situs web B menyediakan layanan HTTPS. Jika Anda menentukan port HTTP kustom 80 dan 8080 dalam konfigurasi situs web A, Anda dapat menentukan maksimal delapan port HTTPS kustom berbeda dalam konfigurasi situs web B.

        CNAME Reuse

        Parameter ini hanya didukung oleh Anti-DDoS Pro dan Anti-DDoS Premium (luar daratan Tiongkok). Pilih apakah akan mengaktifkan penggunaan kembali CNAME.

        Fitur ini cocok untuk skenario di mana beberapa layanan situs web di-hosting di server yang sama. Setelah Anda mengaktifkan penggunaan kembali CNAME, Anda hanya perlu mengarahkan rekaman DNS beberapa nama domain di server yang sama ke CNAME yang sama dari instance Anti-DDoS Pro atau Anti-DDoS Premium. Dengan cara ini, Anda dapat menambahkan beberapa nama domain ke Anti-DDoS Pro dan Anti-DDoS Premium tanpa perlu menambahkan konfigurasi situs web untuk setiap nama domain. Untuk informasi lebih lanjut, lihat Penggunaan kembali CNAME.

      2. Konfigurasikan pengaturan penerusan dan klik Next.

        Item Konfigurasi

        Deskripsi

        Back-to-origin Scheduling Algorithm

        Parameter ini wajib jika Anda memiliki beberapa alamat server asal (alamat IP asal atau nama domain asal). Anda dapat mengubah algoritma penyeimbangan beban atau mengatur bobot untuk server yang berbeda.

        • Round-robin (default): Semua permintaan didistribusikan secara berurutan ke semua alamat server. Secara default, semua alamat server memiliki bobot yang sama. Anda dapat mengubah bobot server. Semakin besar bobot server, semakin tinggi probabilitas permintaan diteruskan ke server tersebut. Algoritma ini cocok untuk skenario di mana beberapa server asal digunakan dan distribusi beban yang merata di seluruh server asal diperlukan.

        • IP hash: Anda dapat mengatur hash IP dan bobot untuk server. Algoritma hash IP memastikan bahwa permintaan dari klien yang sama diteruskan ke server yang sama selama periode waktu tertentu. Hal ini menjamin konsistensi sesi. Dalam mode bobot, bobot dialokasikan berdasarkan kemampuan pemrosesan server. Hal ini memastikan bahwa server dengan kinerja lebih tinggi memproses lebih banyak permintaan dan meningkatkan pemanfaatan sumber daya. Algoritma ini cocok untuk skenario di mana konsistensi sesi pengguna harus dipertahankan. Dalam kasus ekstrem, beban mungkin tidak seimbang.

        • Least time: Kemampuan resolusi DNS cerdas dan algoritma kembali-ke-asal least time memastikan latensi terendah untuk lalu lintas layanan di seluruh tautan dari node perlindungan ke server asal.

        • Retry Back-to-origin Requests: Ketika sumber daya yang diminta oleh Anti-DDoS Pro dan Anti-DDoS Premium tidak ditemukan di server cache, server cache mencoba mengambil sumber daya tersebut dari server cache tingkat atas atau server asal.

          Catatan

          Anda dapat mengatur jumlah maksimum percobaan ulang kembali-ke-asal untuk setiap server asal. Nilai default adalah 3.

        Traffic Marking

        • Originating Port

          Nama header HTTP yang berisi port asal klien.

          Dalam kebanyakan kasus, header X-Forwarded-ClientSrcPort digunakan untuk mencatat port asal klien. Jika Anda menggunakan header kustom untuk mencatat port asal klien, tentukan header kustom tersebut untuk Originating Port. Setelah Proxy Anti-DDoS meneruskan permintaan kembali-ke-asal ke server asal Anda, server asal Anda mengurai header kustom tersebut untuk memperoleh port asal klien. Langkah-langkah untuk memperoleh port asal klien mirip dengan langkah-langkah untuk memperoleh alamat IP asal klien. Untuk informasi lebih lanjut, lihat Memperoleh alamat IP asal permintaan.

        • Originating IP Address

          Nama header HTTP yang berisi alamat IP asal klien.

          Dalam kebanyakan kasus, header X-Forwarded-For digunakan untuk mencatat alamat IP asal klien. Jika Anda menggunakan header kustom untuk mencatat alamat IP asal klien, tentukan header kustom tersebut untuk Originating IP Address. Setelah Proxy Anti-DDoS meneruskan permintaan kembali-ke-asal ke server asal Anda, server asal Anda mengurai header kustom tersebut untuk memperoleh alamat IP asal klien.

        • Custom Header

          Anda dapat menambahkan header HTTP kustom ke permintaan yang melewati Proxy Anti-DDoS untuk menandai permintaan tersebut. Untuk menambahkan header HTTP kustom, tentukan nama dan nilai header. Setelah Anda membuat header kustom, Proxy Anti-DDoS menambahkan header kustom tersebut ke permintaan kembali-ke-asal. Dengan cara ini, server backend dapat melakukan analisis statistik terhadap permintaan kembali-ke-asal.

          • Jangan gunakan header default berikut sebagai header kustom:

            • X-Forwarded-ClientSrcPort: Header ini digunakan untuk memperoleh port asal klien yang mengakses Proxy Anti-DDoS (proxy lapisan 7).

            • X-Forwarded-ProxyPort: Header ini digunakan untuk memperoleh port pendengar yang mengakses Proxy Anti-DDoS (proxy lapisan 7).

            • X-Forwarded-For: Header ini digunakan untuk memperoleh alamat IP asal klien yang mengakses Proxy Anti-DDoS (proxy lapisan 7).

          • Jangan gunakan header HTTP standar (seperti Host, User-Agent, Connection, dan Upgrade) atau header HTTP kustom yang umum digunakan (seperti X-Real-IP, X-True-IP, X-Client-IP, Web-Server-Type, WL-Proxy-Client-IP, EagleEye-RPCID, EagleEye-TraceID, X-Forwarded-Cluster, dan X-Forwarded-Proto). Jika Anda menggunakan header di atas, header asli akan ditimpa.

          • Anda dapat menambahkan hingga lima header HTTP kustom.

        Cookie Settings

        • Status pengaktifan

          Fitur ini diaktifkan secara default. Saat diaktifkan, Anti-DDoS Pro dan Anti-DDoS Premium menyisipkan cookie ke klien, seperti browser, untuk membedakan klien atau memperoleh sidik jari klien. Untuk informasi lebih lanjut, lihat Konfigurasikan perlindungan keamanan CC.

          Penting

          Untuk mencegah Anti-DDoS Pro dan Anti-DDoS Premium menyisipkan cookie ke layanan Anda, Anda dapat menonaktifkan fitur ini. Namun, jika Anda menonaktifkan fitur ini, Anti-DDoS Pro dan Anti-DDoS Premium tidak dapat menggunakan modul kebijakan perlindungan keamanan CC untuk mendeteksi dan mempertahankan diri secara proaktif terhadap serangan CC.

        • Atribut aman

          Fitur ini dinonaktifkan secara default. Jika Anda mengaktifkan fitur ini, cookie hanya dikirim melalui koneksi HTTPS, bukan melalui koneksi HTTP. Hal ini membantu melindungi cookie dari pencurian oleh penyerang. Kami menyarankan Anda mengaktifkan fitur ini ketika layanan situs web Anda hanya mendukung koneksi HTTPS.

        Other Settings

        • Set New Connection Timeout: Ketika Anti-DDoS Pro dan Anti-DDoS Premium mencoba membuat koneksi ke server asal, koneksi dianggap gagal jika tidak berhasil dibuat dalam periode ini. Anda dapat mengatur parameter ini ke nilai antara 1 hingga 10 detik.

        • Set Read Connection Timeout: Setelah Anti-DDoS Pro dan Anti-DDoS Premium membuat koneksi dan mengirim permintaan baca ke server asal, ini adalah waktu maksimum yang ditunggu Anti-DDoS Pro dan Anti-DDoS Premium untuk tanggapan dari server asal. Anda dapat mengatur parameter ini ke nilai antara 10 hingga 300 detik.

        • Set Write Connection Timeout: Setelah data dikirim dari Anti-DDoS Pro dan Anti-DDoS Premium dan sebelum server asal mulai memproses data, ini adalah waktu yang ditunggu Anti-DDoS Pro dan Anti-DDoS Premium. Permintaan tulis dianggap gagal jika Anti-DDoS Pro dan Anti-DDoS Premium belum mengirim semua data ke server asal atau server asal belum mulai memproses data dalam periode ini. Anda dapat mengatur parameter ini ke nilai antara 10 hingga 300 detik.

        • Back-to-origin Persistent Connection: Fitur ini menjaga koneksi TCP antara server cache dan server asal tetap aktif selama periode waktu tertentu, bukan menutup koneksi setelah setiap permintaan selesai. Setelah Anda mengaktifkan fitur ini, waktu dan sumber daya yang diperlukan untuk membuat koneksi berkurang, serta efisiensi dan kecepatan pemrosesan permintaan meningkat.

        • Number Of Requests Reusing A Persistent Connection: jumlah permintaan HTTP yang dapat dikirim melalui koneksi TCP yang dibuat antara Anti-DDoS Pro dan Anti-DDoS Premium dan server asal. Hal ini mengurangi latensi dan konsumsi sumber daya yang disebabkan oleh pembuatan dan penutupan koneksi yang sering. Anda dapat mengatur parameter ini ke nilai antara 10 hingga 1.000. Kami menyarankan Anda mengatur parameter ini ke nilai yang kurang dari atau sama dengan jumlah permintaan yang dapat menggunakan kembali koneksi persisten di server asal backend, seperti instance WAF atau SLB. Hal ini mencegah gangguan layanan yang disebabkan oleh penutupan koneksi persisten.

        • Idle Persistent Connection Timeout: waktu maksimum koneksi TCP persisten yang dibuat antara Anti-DDoS Pro dan Anti-DDoS Premium dan server asal dapat tetap terbuka di kolam koneksi Anti-DDoS Pro dan Anti-DDoS Premium setelah tidak ada transmisi data. Jika tidak ada permintaan baru yang diterima selama periode ini, koneksi akan ditutup untuk melepaskan sumber daya sistem. Anda dapat mengatur parameter ini ke nilai antara 10 hingga 30 detik. Kami menyarankan Anda mengatur parameter ini ke nilai yang kurang dari atau sama dengan periode timeout yang dikonfigurasi di server asal backend, seperti instance WAF atau SLB. Hal ini mencegah gangguan layanan yang disebabkan oleh penutupan koneksi persisten.

        • Set Maximum Number Of HTTP/2.0 Streams: Parameter ini hanya tersedia saat HTTP/2 diaktifkan. Parameter ini menentukan jumlah maksimum stream konkuren yang diizinkan antara klien dan Anti-DDoS Pro serta Anti-DDoS Premium. Anda dapat mengatur parameter ini ke nilai antara 16 hingga 32. Jika Anda memerlukan nilai yang lebih tinggi, hubungi manajer bisnis Anda.

    Langkah selanjutnya

    1. (Opsional) Ubah alamat IP publik server asal ECS.

      Jika server asal Anda adalah instance ECS dan alamat IP asal terpapar, ubah alamat IP publik instance ECS tersebut. Hal ini mencegah penyerang melewati Anti-DDoS Pro dan Anti-DDoS Premium untuk menyerang server asal Anda. Untuk informasi lebih lanjut, lihat Alamat IP publik statis.

    2. Izinkan alamat IP kembali-ke-asal Anti-DDoS Pro dan Anti-DDoS Premium di server asal.

      Jika perangkat lunak keamanan, seperti firewall, diinstal di server asal, tambahkan alamat IP kembali-ke-asal Anti-DDoS Pro dan Anti-DDoS Premium ke daftar izin di server asal. Hal ini mencegah lalu lintas yang diteruskan dari Anti-DDoS Pro dan Anti-DDoS Premium ke server asal diblokir secara salah. Untuk informasi lebih lanjut, lihat Izinkan alamat IP kembali-ke-asal Anti-DDoS Pro dan Anti-DDoS Premium.

    3. Verifikasi bahwa pengaturan penerusan lalu lintas berlaku di mesin lokal. Untuk informasi lebih lanjut, lihat Verifikasi pengaturan penerusan lalu lintas pada mesin lokal.

      Peringatan

      Jika Anda mengalihkan lalu lintas layanan sebelum pengaturan penerusan berlaku, layanan Anda mungkin terganggu.

    4. Ubah rekam DNS untuk mengalihkan lalu lintas layanan ke Anti-DDoS Pro dan Anti-DDoS Premium.

      Setelah menambahkan konfigurasi situs web, Anti-DDoS Pro dan Anti-DDoS Premium akan menetapkan CNAME untuk situs web tersebut. Anda harus mengarahkan rekam DNS nama domain ke CNAME tersebut agar lalu lintas layanan dialihkan ke instance Anti-DDoS Pro atau Anti-DDoS Premium guna perlindungan. Untuk informasi lebih lanjut, lihat Gunakan CNAME atau alamat IP untuk menyelesaikan nama domain situs web ke Anti-DDoS Pro dan Anti-DDoS Premium.

    5. (Opsional) Konfigurasikan kebijakan mitigasi DDoS untuk layanan situs web Anda.

      Secara default, fitur Anti-DDoS Global Mitigation Policy dan Intelligent Protection diaktifkan untuk situs web yang ditambahkan untuk perlindungan. Anda juga dapat mengaktifkan fitur perlindungan tambahan di tab Protection for Website Services. Untuk informasi lebih lanjut, lihat Perlindungan DDoS untuk Layanan Website.

      Penting

      Setelah mengonfigurasi perlindungan keamanan CC, cookie mungkin disisipkan. Untuk informasi lebih lanjut, lihat Penyisipan cookie.

    6. (Opsional) Konfigurasikan peringatan CloudMonitor.

      Anda dapat mengatur aturan peringatan untuk metrik layanan umum, seperti lalu lintas dan koneksi untuk alamat IP instance Anti-DDoS Pro atau Anti-DDoS Premium, serta untuk peristiwa serangan, seperti penyaringan blackhole dan pembersihan lalu lintas. Dengan demikian, CloudMonitor dapat mengirimkan peringatan tepat waktu saat terjadi anomali, sehingga membantu mempersingkat waktu respons dan memulihkan layanan Anda. Untuk informasi lebih lanjut, lihat Peringatan CloudMonitor.

    7. (Opsional) Konfigurasikan instans analisis log.

      Anti-DDoS Pro dan Anti-DDoS Premium mengumpulkan dan menyimpan log lengkap layanan situs web Anda untuk kueri dan analisis. Secara default, instans analisis log menyimpan log lengkap situs web Anda selama 180 hari, membantu memenuhi persyaratan perlindungan terklasifikasi. Untuk informasi lebih lanjut, lihat Gunakan analisis log lengkap dengan cepat.

    Referensi

    • Untuk mengubah instance Anti-DDoS Pro atau Anti-DDoS Premium untuk nama domain tanpa mengganggu penerusan layanan, lihat Ubah instance Anti-DDoS Pro atau Anti-DDoS Premium yang dikaitkan dengan nama domain.

    • Untuk mengatasi masalah latensi selama akses layanan normal, Anda dapat menggunakan Sec-Traffic Manager. Jika tidak ada serangan, lalu lintas layanan langsung diteruskan ke server asal tanpa menambah latensi. Jika terjadi serangan, lalu lintas dialihkan ke Anti-DDoS Pro dan Anti-DDoS Premium untuk pembersihan dan penerusan. Untuk informasi lebih lanjut, lihat Pengelola Lalu Lintas Keamanan.