All Products
Search

This Product

    Anti-DDoS:Add a website configuration

    Document Center

    Anti-DDoS:Add a website configuration

    Last Updated:May 13, 2026

    Setelah menambahkan nama domain situs web ke Anti-DDoS Proxy, arahkan rekaman DNS nama domain tersebut ke alamat CNAME yang dihasilkan oleh Anti-DDoS Proxy agar terlindungi dari serangan DDoS. Topik ini memandu Anda melalui seluruh proses—mulai dari integrasi cepat hingga konfigurasi lanjutan—dan memastikan transisi layanan berjalan lancar.

    Sebelum memulai

    • Instans Anti-DDoS Proxy (Tiongkok daratan) atau Anti-DDoS Proxy (luar Tiongkok daratan) telah dibeli. Untuk informasi lebih lanjut, lihat Beli instans Anti-DDoS Proxy.

    • Jika layanan situs web Anda ditambahkan ke instans Anti-DDoS Proxy (Tiongkok daratan), nama domain tersebut harus memiliki pendaftaran ICP. Untuk informasi lebih lanjut, lihat Pendaftaran ICP.

      Catatan

      Situs web yang ditambahkan ke instans Anti-DDoS Proxy (luar Tiongkok daratan) tidak tunduk pada persyaratan pendaftaran ICP.

    Prosedur

    1. Masuk ke halaman Website Config di konsol Anti-DDoS Proxy.

    2. Pada bilah navigasi atas, pilih wilayah instans Anda.

      • Anti-DDoS Proxy (Tiongkok daratan): Pilih wilayah Tiongkok daratan.

      • Anti-DDoS Proxy (luar Tiongkok daratan): Pilih wilayah luar Tiongkok daratan.

    3. Pada halaman Website Config, klik Add Website.

      Catatan

      Anda juga dapat mengklik Batch Import di bagian bawah halaman untuk mengimpor beberapa konfigurasi situs web sekaligus. Konfigurasi tersebut harus berada dalam file XML. Untuk informasi lebih lanjut mengenai format file, lihat Operasi lainnya.

    4. Masukkan informasi Website Config dan klik Next.

      Konfigurasi dasar

      • Function Plan: Pilih paket fungsi instans Anti-DDoS Proxy yang ingin Anda asosiasikan. Opsi: Standard dan Enhanced.

        Catatan

        Arahkan kursor ke ikon Function plan description setelah Function Plan untuk melihat perbedaan fitur antara Paket fungsi standar dan Rencana fungsi ditingkatkan. Untuk informasi lebih lanjut, lihat perbedaan antara Paket fungsi standar dan Rencana fungsi ditingkatkan.

      • Instance: Pilih instans Anti-DDoS Proxy yang ingin Anda asosiasikan.

        Penting

        Satu nama domain dapat diasosiasikan dengan maksimal delapan instans Anti-DDoS Proxy. Instans-instans tersebut harus menggunakan Function Plan yang sama.

      • Websites: Masukkan nama domain situs web yang ingin Anda lindungi. Anda dapat memasukkan nama domain yang cocok persis, seperti www.example.com, atau Nama domain wildcard, seperti *.example.com.

        Catatan

        • Jika konfigurasi sudah ada untuk nama domain wildcard (misalnya, *.aliyundoc.com) dan nama domain yang cocok persis (misalnya, www.aliyundoc.com), Anti-DDoS Proxy akan memprioritaskan aturan pengalihan dan kebijakan mitigasi dari nama domain yang cocok persis (www.aliyundoc.com).

        • Jika Anda memasukkan domain root, hanya domain root tersebut yang dilindungi. Domain tingkat kedua dan subdomain lainnya tidak dilindungi. Jika Anda ingin melindungi domain tingkat kedua, masukkan domain tingkat kedua tersebut atau nama domain wildcard.

        • Anda hanya dapat memasukkan nama domain, bukan alamat IP.

      • Protocol Type: Pilih protokol yang didukung oleh situs web.

        • HTTP / HTTPS: Protokol dasar untuk layanan web.

          Catatan

          Untuk informasi tentang pengaturan HTTPS, lihat deskripsi pada tab HTTPS configuration.

        • Websocket / Websockets: Protokol komunikasi real-time. Jika Anda memilih salah satu protokol ini, HTTP atau HTTPS akan dipilih secara otomatis.

      • Server Address: Tetapkan alamat server backend (server origin) yang digunakan oleh Anti-DDoS Proxy selama origin fetch.

        • Origin IP Address: Masukkan alamat IP publik server origin. Anda dapat memasukkan beberapa alamat IP, dipisahkan dengan koma. Contoh:

          • Server origin di Alibaba Cloud: Masukkan alamat IP publik instans ECS origin. Jika instans SLB ditempatkan sebelum instans ECS, masukkan alamat IP publik instans SLB tersebut.

          • Server origin di pusat data yang tidak dikelola oleh Alibaba Cloud atau berada di platform cloud lain: Jalankan perintah ping <nama domain> untuk menanyakan alamat IP publik tempat nama domain tersebut di-resolve. Lalu, masukkan alamat IP publik tersebut.

        • Origin Domain Name:

      • Server Port: Tetapkan port yang digunakan oleh server origin untuk mendengarkan layanan situs web.

        • HTTP/Websocket: Port default adalah 80.

        • HTTPS/Websockets: Port default adalah 443.

        • Custom Server Port:

          • Multiple ports: Anda dapat menentukan beberapa port, dipisahkan dengan koma. Jumlah total port kustom untuk semua layanan situs web yang dilindungi oleh instans Anti-DDoS Proxy tidak boleh melebihi 10. Ini mencakup port kustom untuk protokol yang berbeda.

          • Port range (HTTP/HTTPS): 80 hingga 65535

      Konfigurasi HTTPS

      Jika Anda memilih HTTPS untuk otentikasi terenkripsi, lengkapi konfigurasi berikut.

      • Konfigurasikan sertifikat: Untuk mengaktifkan HTTPS, Anda harus mengonfigurasi Sertifikat SSL yang sesuai dengan nama domain situs web.

      • Konfigurasikan TLS Security Settings:

        Catatan

        Untuk informasi lebih lanjut, lihat Sesuaikan kebijakan keamanan TLS untuk sertifikat HTTPS server.

        • TLS Versions for SSL Certificate: Pilih versi TLS yang didukung oleh sertifikat HTTPS standar internasional.

          • TLS 1.0 and later. This setting provides the best compatibility but low security.: Mendukung TLS 1.0, TLS 1.1, dan TLS 1.2.

          • TLS 1.1 and later. This setting provides good compatibility and medium security.: Mendukung TLS 1.1 dan TLS 1.2.

          • TLS 1.2 and later. This setting provides good compatibility and high security level.: Mendukung TLS 1.2.

          • Enable TLS 1.3 Support: Mendukung TLS 1.3.

        • Cipher Suites for SSL Certificate: Pilih paket sandi yang didukung untuk sertifikat HTTPS standar internasional, atau pilih paket sandi kustom. Arahkan kursor ke ikon 问号 pada opsi paket sandi untuk melihat paket sandi yang termasuk di dalamnya.

      • Mutual Authentication:

        • Issued by Alibaba Cloud: Pilih sertifikat CA default dari daftar drop-down A default CA certificate is required.. Sertifikat ini diterbitkan oleh Certificate Management Service (Original SSL Certificate).

        • Not Issued by Alibaba Cloud:

          • Pertama, unggah sertifikat CA self-signed ke Certificate Management Service (Original SSL Certificate). Untuk petunjuk detail, lihat Upload Certificate Repository.

          • Pada daftar drop-down A default CA certificate is required., pilih sertifikat CA self-signed yang telah diunggah.

      • Enable OCSP Stapling: OCSP merupakan singkatan dari Online Certificate Status Protocol. OCSP digunakan untuk menanyakan otoritas sertifikat (CA) yang menerbitkan sertifikat server guna memeriksa apakah sertifikat tersebut telah dicabut. Selama proses jabat tangan TLS dengan server, klien harus memperoleh sertifikat dan respons OCSP-nya.

        Penting

        Respons OCSP ditandatangani secara digital oleh CA dan tidak dapat dipalsukan. Mengaktifkan fitur ini tidak menimbulkan risiko keamanan tambahan.

        • Disabled (Default): Klien mengirim kueri OCSP ke CA selama proses jabat tangan TLS untuk memverifikasi apakah sertifikat telah dicabut. Proses ini memblokir koneksi dan dapat menyebabkan penundaan pemuatan halaman jika jaringan buruk.

        • Enabled: Anti-DDoS Proxy melakukan kueri OCSP dan menyimpan hasilnya selama 3.600 detik. Ketika klien menginisiasi permintaan proses jabat tangan TLS ke server, Anti-DDoS Proxy mengirim respons OCSP yang tersimpan bersama rantai sertifikat ke klien. Hal ini menghindari masalah pemblokiran yang disebabkan oleh kueri dari sisi klien dan meningkatkan kinerja HTTPS.

      • SM Certificate: Hanya instans Anti-DDoS Proxy (Tiongkok daratan) yang mendukung pengunggahan sertifikat HTTPS berbasis SM. Hanya algoritma SM2 yang didukung.

        • Allow Access Only from SM Certificate-based Clients: Sakelar ini dimatikan secara default. Pilih salah satu opsi berikut sesuai kebutuhan Anda:

          • On: Memproses hanya permintaan dari klien yang telah menginstal sertifikat SM.

            Catatan

            Setelah Anda mengaktifkan sakelar ini, konfigurasi paket sandi TLS, otentikasi timbal balik, dan pengikatan OCSP untuk sertifikat HTTPS standar internasional tidak berlaku.

          • Off: Memproses permintaan dari klien yang telah menginstal sertifikat SM atau sertifikat standar internasional.

        • SM Certificate: Pilih sertifikat SM dari daftar. Anda harus mengunggah sertifikat SM ke Layanan Manajemen Sertifikat sebelum sertifikat tersebut muncul di sini.

        • SM Cipher Suites for HTTPS Support: Paket sandi berikut diaktifkan secara default dan tidak dapat dimodifikasi:

          • ECC-SM2-SM4-CBC-SM3

          • ECC-SM2-SM4-GCM-SM3

          • ECDHE-SM2-SM4-CBC-SM3

          • ECDHE-SM2-SM4-GCM-SM3

      Pengaturan lanjutan

      • Enable HTTPS Redirection: Pengaturan ini cocok untuk situs web yang mendukung HTTP dan HTTPS. Setelah Anda mengaktifkan pengaturan ini, semua permintaan HTTP akan diarahkan secara paksa ke permintaan HTTPS pada port 443 secara default.

        Penting

        • Anda hanya dapat mengaktifkan pengaturan ini jika memilih protokol HTTP dan HTTPS serta tidak memilih protokol Websocket.

        • Jika Anda mengakses situs web melalui port HTTP non-standar (selain 80) dan mengaktifkan pengalihan paksa ke HTTPS, permintaan akses akan diarahkan ke port HTTPS 443 secara default.

      • HTTP/2 Listener: Jika sakelar ini diaktifkan, klien yang menggunakan HTTP/2 dapat mengakses Anti-DDoS Proxy. Namun, Anti-DDoS Proxy tetap menggunakan HTTP/1.1 untuk origin fetch. Spesifikasi fitur HTTP/2 adalah sebagai berikut:

        • Spesifikasi dasar:

          • Timeout idle setelah koneksi ditutup (http2_idle_timeout): 120 detik

          • Jumlah maksimum permintaan per koneksi (http2_max_requests): 1.000

          • Jumlah maksimum stream konkuren per koneksi (http2_max_concurrent_streams): 4

          • Ukuran maksimum seluruh daftar header permintaan setelah dekompresi HPACK (http2_max_header_size): 256 K

          • Ukuran maksimum bidang header permintaan yang dikompresi HPACK (http2_max_field_size): 64 K

        • Spesifikasi yang dapat dikonfigurasi: Anda dapat mengatur Upper Limit for HTTP/2 Streams, yaitu jumlah maksimum stream konkuren yang diizinkan antara klien dan Anti-DDoS Proxy.

      • Set Forward Connection Timeout: Ini adalah periode timeout idle untuk koneksi TCP persisten yang dibuat antara klien dan Anti-DDoS Proxy. Ini merupakan waktu tunggu maksimum antara dua permintaan klien.

        Catatan

        Jika tidak ada permintaan baru yang diterima dalam periode yang ditentukan, Anti-DDoS Proxy akan menutup koneksi untuk melepaskan sumber daya.

    5. Masukkan Forwarding Settings dan klik Next.

      Pengaturan kembali ke asal

      • Back-to-origin Scheduling Algorithm: Jika Anda mengonfigurasi beberapa Origin IP Addresses atau Origin Domain Names, Anda dapat mengubah algoritma penyeimbangan beban atau menetapkan bobot untuk server yang berbeda guna menentukan cara distribusi lalu lintas di antara server origin.

        Metode

        Skenario

        Deskripsi

        Round-robin (Default)

        Skema yang menggunakan beberapa server origin dan memerlukan kinerja penyeimbangan beban tinggi.

        Semua permintaan didistribusikan ke semua alamat server secara bergiliran. Secara default, semua alamat server memiliki bobot yang sama. Anda dapat mengubah bobot server. Bobot yang lebih besar menunjukkan probabilitas yang lebih tinggi untuk menerima permintaan.

        IP hash

        Skema yang memerlukan konsistensi sesi. Dalam kasus ekstrem, ketidakseimbangan beban dapat terjadi.

        Permintaan dari alamat IP klien yang sama selalu diarahkan ke server origin yang sama untuk memastikan konsistensi sesi. Anda dapat menetapkan bobot untuk server saat menggunakan algoritma IP hash. Hal ini memungkinkan Anda mendistribusikan lalu lintas berdasarkan kemampuan pemrosesan server dan memprioritaskan server dengan kinerja lebih baik.

        Least time

        Layanan yang sangat sensitif terhadap kecepatan akses dan latensi respons, seperti game dan transaksi online.

        Kemampuan penguraian DNS cerdas dan algoritma least time untuk origin fetch memastikan latensi terpendek untuk seluruh tautan dari POP ke server origin.

      • Retry Back-to-origin Requests: Jumlah probe pemeriksaan kesehatan untuk memeriksa ketersediaan server origin untuk penerusan domain. Nilai default adalah 3. Mekanisme retry bekerja sebagai berikut:

        1. Fitur retry kembali ke asal hanya dipicu ketika lalu lintas layanan mengakses node tepi. Saat node tepi mendeteksi bahwa server origin suatu domain tidak tersedia, fitur tersebut akan mencoba kembali melakukan origin fetch.

        2. Jika server origin masih tidak dapat dijangkau setelah jumlah maksimum retry, server tersebut memasuki periode diam. Selama periode ini, tidak ada lalu lintas yang diteruskan ke server origin, dan tidak ada probe yang dikirim.

        3. Setelah periode diam berakhir, fitur retry kembali ke asal dipicu kembali berdasarkan lalu lintas layanan. Jika retry berhasil, server origin diaktifkan kembali.

      • Traffic Marking:

        • Request Header Forwarding Configuration: Anti-DDoS Proxy mendukung penerusan header permintaan. Anda dapat menambahkan atau memodifikasi header permintaan HTTP saat meneruskan permintaan ke server origin Anda. Hal ini membantu mengidentifikasi dan menandai lalu lintas yang melewati Anti-DDoS Proxy.

          • Insert X-Client-IP to Get Originating IP Address: Meneruskan alamat IP asli klien.

          • Insert X-True-IP to Forward Client IP: Meneruskan alamat IP yang digunakan klien untuk membuat koneksi.

          • Insert Web-Server-Type to Get Service Type: Biasanya ditambahkan oleh proxy pertama. Memberi tahu server backend web server atau proxy frontend mana yang menangani permintaan tersebut.

          • Insert WL-Proxy-Client-IP to Get Connection IP: Fungsi yang sama dengan X-Client-IP. Header khusus untuk Oracle WebLogic Server.

          • X-Forwarded-Proto (Listener Protocol): Protokol yang digunakan antara klien dan proxy pertama.

        • Traffic marks

          • Default marks

            Catatan

            • JA3 Fingerprint, JA4 Fingerprint, Client TLS Fingerprint, dan HTTP/2 Fingerprint memerlukan bantuan manajer akun Anda untuk dikonfigurasi.

            • Jika layanan Anda menggunakan bidang kustom alih-alih tanda default, lihat Custom Header di bawah ini. Setelah Anda mengonfigurasinya, server origin Anda mengurai bidang ini dari permintaan yang diteruskan oleh Anti-DDoS Proxy. Untuk contoh penguraian, lihat Dapatkan alamat IP sumber asli setelah mengonfigurasi Anti-DDoS Proxy.

            • Originating Port: Nama bidang header untuk port asal klien dalam header HTTP. Biasanya dicatat dalam bidang X-Forwarded-ClientSrcPort.

            • Originating IP Address: Nama bidang header untuk alamat IP asal klien dalam header HTTP. Biasanya dicatat dalam bidang X-Forwarded-For.

            • JA3 Fingerprint: Nama bidang header HTTP yang berisi hash MD5 dari sidik jari JA3 klien. Bidang default adalah ssl_client_ja3_fingerprinting_md5.

            • JA4 Fingerprint: Nama bidang header HTTP yang berisi hash MD5 dari sidik jari JA4 klien. Bidang default adalah ssl_client_ja4_fingerprinting_md5.

            • Client TLS Fingerprint: Nama bidang header HTTP yang berisi hash MD5 dari sidik jari TLS klien. Bidang default adalah ssl_client_tls_fingerprinting_md5.

            • HTTP/2 Fingerprint: Nama bidang header untuk nilai hash MD5 yang dihasilkan dari sidik jari HTTP/2.0 klien dalam header HTTP. Biasanya dicatat dalam bidang http2_client_fingerprint_md5.

          • Custom Header: Tambahkan header HTTP kustom (termasuk nama bidang dan nilainya) untuk menandai permintaan yang melewati Anti-DDoS Proxy. Saat Anti-DDoS Proxy meneruskan lalu lintas situs web, nilai bidang yang dikonfigurasi akan ditambahkan ke permintaan yang dikirim ke server origin Anda. Hal ini membantu layanan backend Anda menganalisis dan melacak lalu lintas.

            • Batasan penamaan: Untuk menghindari penimpaan bidang header permintaan asli, jangan gunakan nama bidang berikut untuk header kustom Anda:

              • Bidang default Anti-DDoS Proxy:

                • X-Forwarded-ClientSrcPort: Digunakan secara default untuk mendapatkan port klien untuk akses mesin Lapisan 7.

                • X-Forwarded-ProxyPort: Digunakan secara default untuk mendapatkan port pendengar untuk akses mesin Lapisan 7.

                • X-Forwarded-For: Digunakan secara default untuk mendapatkan alamat IP klien untuk akses mesin Lapisan 7.

                • ssl_client_ja3_fingerprinting_md5: Digunakan secara default untuk mengambil hash MD5 dari sidik jari JA3 klien.

                • ssl_client_ja4_fingerprinting_md5: Digunakan secara default untuk mengambil hash MD5 dari sidik jari JA4 klien.

                • ssl_client_tls_fingerprinting_md5: Digunakan secara default untuk mengambil hash MD5 dari sidik jari TLS klien.

                • http2_client_fingerprint_md5: Digunakan secara default untuk mendapatkan nilai hash MD5 dari sidik jari HTTP/2.0 klien.

              • Bidang HTTP standar: Seperti host, user-agent, connection, dan upgrade.

              • Bidang proxy umum: Seperti x-real-ip, x-true-ip, x-client-ip, web-server-type, wl-proxy-client-ip, eagleeye-rpcid, eagleeye-traceid, x-forwarded-cluster, dan x-forwarded-proto.

            • Batasan jumlah: Anda dapat menambahkan hingga lima label header kustom.

            • Rekomendasi konfigurasi:

              • Gunakan default marks terlebih dahulu.

              • Verifikasi konfigurasi bidang header di lingkungan staging sebelum menerapkannya di lingkungan produksi.

              • Kami menyarankan agar nilai bidang tidak melebihi 100 karakter untuk menghindari dampak pada kinerja penerusan.

      • CNAME Reuse: Pilih apakah akan mengaktifkan Penggunaan kembali CNAME. Setelah diaktifkan, Anda dapat menambahkan beberapa nama domain yang dihosting di server yang sama ke Anti-DDoS Proxy dengan mengarahkan rekam DNS-nya ke CNAME Anti-DDoS Proxy yang sama, tanpa perlu menambahkan konfigurasi situs web terpisah untuk setiap nama domain. Untuk informasi selengkapnya, lihat Penggunaan kembali CNAME.

        Penting

        Parameter ini hanya didukung oleh Anti-DDoS Proxy (luar Tiongkok daratan).

      Pengaturan lainnya

      • Enable HTTP Redirection of Back-to-origin Requests: Jika situs web Anda tidak mendukung HTTPS untuk origin fetch, Anda harus mengaktifkan pengaturan ini. Setelah Anda mengaktifkan pengaturan ini, semua permintaan HTTPS dikirim ke server origin melalui HTTP, dan semua permintaan Websockets dikirim melalui Websocket. Port origin default adalah 80.

        Catatan

        Jika Anda mengakses situs web melalui port HTTPS non-standar (selain 443) dan mengaktifkan HTTP untuk origin fetch, permintaan akses akan diarahkan ke port HTTP 80 server origin secara default.

      • HTTP/2.0 Origin: Setelah Anda mengaktifkan HTTP/2.0 untuk permintaan kembali ke asal, Anti-DDoS Proxy menggunakan HTTP/2.0 untuk mengirim permintaan ke origin.

        Peringatan

        • Untuk mengonfigurasi fitur ini, hubungi manajer akun Anda.

        • Jika server origin Anda tidak mendukung HTTP/2.0, jangan konfigurasi fitur ini. Jika tidak, situs web Anda akan menjadi tidak dapat diakses.

      • Cookie Settings

        • Delivery Status: Diaktifkan secara default. Anti-DDoS Proxy menyisipkan cookie ke klien, seperti browser, untuk membedakan klien atau mendapatkan sidik jari klien. Untuk informasi lebih lanjut, lihat Konfigurasikan Perlindungan flood HTTP.

          Penting

          Jika Anda mengalami kegagalan login atau kehilangan sesi setelah menambahkan aplikasi Anda ke Anti-DDoS Proxy, Anda dapat mencoba menonaktifkan sakelar ini. Perhatikan bahwa jika Anda menonaktifkan sakelar ini, beberapa fitur Perlindungan flood HTTP menjadi tidak efektif.

        • Secure Attribute: Dinonaktifkan secara default. Jika Anda mengaktifkan atribut ini, cookie hanya dikirim melalui koneksi HTTPS, bukan koneksi HTTP. Hal ini membantu melindungi cookie dari pencurian.

          Catatan

          Kami menyarankan agar Anda mengaktifkan atribut ini jika layanan situs web Anda hanya mendukung koneksi HTTPS.

      • Configure New Connection Timeout Period: Waktu yang ditunggu Anti-DDoS Proxy untuk membuat koneksi ke server origin.

        Catatan

        Jika koneksi tidak berhasil dibuat dalam periode ini, upaya tersebut dianggap gagal.

      • Configure Read Connection Timeout Period: Waktu maksimum yang ditunggu Anti-DDoS Proxy untuk menerima respons dari server origin setelah koneksi berhasil dibuat dan permintaan baca dikirim.

      • Configure Write Connection Timeout Period: Waktu yang ditunggu Anti-DDoS Proxy setelah mengirim data dan sebelum server origin mulai memprosesnya.

        Catatan

        Jika Anti-DDoS Proxy gagal mengirim semua data ke server origin atau server origin tidak mulai memproses data dalam periode ini, upaya tersebut dianggap gagal.

      • Back-to-origin Persistent Connections: Koneksi TCP antara server cache dan server origin tetap aktif selama periode tertentu alih-alih ditutup setelah setiap permintaan. Hal ini dapat membuang sumber daya. Aktifkan Back-to-origin Persistent Connections untuk mengurangi waktu pembuatan koneksi dan konsumsi sumber daya, serta meningkatkan efisiensi dan kecepatan pemrosesan permintaan.

        • Requests Reusing Persistent Connections: Jumlah permintaan HTTP yang dapat dikirim melalui satu koneksi TCP dari Anti-DDoS Proxy ke server origin. Hal ini mengurangi latensi dan konsumsi sumber daya yang disebabkan oleh pembuatan dan penghentian koneksi yang sering.

          Catatan

          Kami menyarankan agar Anda menetapkan nilai ini kurang dari atau sama dengan jumlah permintaan per koneksi persisten yang dikonfigurasi di server origin backend Anda, seperti instans WAF atau SLB. Hal ini mencegah ketidaktersediaan layanan yang disebabkan oleh penghentian koneksi.

        • Timeout Period of Idle Persistent Connections: Waktu maksimum koneksi TCP persisten idle dari Anti-DDoS Proxy ke server origin yang dapat tetap terbuka di kolam koneksi Anti-DDoS Proxy. Jika tidak ada permintaan baru yang diterima dalam periode ini, koneksi akan ditutup untuk melepaskan sumber daya sistem.

          Catatan

          Kami menyarankan agar Anda menetapkan nilai ini kurang dari atau sama dengan periode timeout yang dikonfigurasi di server origin backend Anda, seperti instans WAF atau SLB. Hal ini mencegah ketidaktersediaan layanan yang disebabkan oleh penghentian koneksi.

    Verifikasi dan go-live

    Setelah Anda menyelesaikan konfigurasi situs web, ikuti daftar periksa ini untuk melakukan validasi dan go-live. Hal ini membantu mencegah gangguan layanan.

    • Langkah inti (Wajib)

      1. Izinkan alamat IP kembali ke asal: Dalam kebijakan keamanan server origin Anda, seperti firewall atau security group, tambahkan rentang alamat IP kembali ke asal Anti-DDoS Proxy ke daftar putih. Hal ini mencegah lalu lintas yang diteruskan dari Anti-DDoS Proxy ke origin Anda diblokir secara keliru. Untuk informasi lebih lanjut, lihat Tambahkan alamat IP kembali ke asal Anti-DDoS Proxy ke daftar putih.

      2. Verifikasi konfigurasi secara lokal: Sebelum mengubah rekaman DNS Anda, modifikasi file hosts lokal untuk memverifikasi bahwa konfigurasi penerusan berfungsi sebagaimana mestinya. Hal ini membantu mencegah gangguan layanan. Untuk informasi lebih lanjut, lihat Verifikasi pengaturan penerusan di mesin lokal.

      3. Alihkan resolusi DNS: Setelah verifikasi lokal berhasil, ubah rekaman DNS nama domain situs web Anda ke CNAME yang disediakan oleh Anti-DDoS Proxy. Tindakan ini mengalihkan lalu lintas layanan Anda ke Anti-DDoS Proxy untuk perlindungan. Untuk informasi lebih lanjut, lihat Gunakan CNAME atau alamat IP untuk mengarahkan nama domain ke Anti-DDoS Proxy.

    • Langkah opsional

      • Ubah alamat IP origin: Jika server origin Anda adalah instans ECS Alibaba Cloud dan alamat IP-nya terpapar, kami menyarankan agar Anda mengubah alamat IP publik instans ECS tersebut. Hal ini mencegah penyerang melewati Anti-DDoS Proxy untuk menyerang server origin Anda. Untuk informasi lebih lanjut, lihat Alamat IP publik statis.

      • Konfigurasikan kebijakan mitigasi DDoS: Selain kebijakan mitigasi default Anti-DDoS Proxy (Anti-DDoS Global Mitigation Policy, Intelligent Protection, dan Frequency Control), Anda dapat mengaktifkan fitur perlindungan tambahan pada tab Protection for Website Services sesuai kebutuhan. Untuk informasi lebih lanjut, lihat Perlindungan DDoS untuk Layanan Website.

        Penting

        Mengaktifkan kebijakan perlindungan flood HTTP dapat menyisipkan cookie ke klien. Untuk informasi selengkapnya, lihat Penyisipan cookie.

      • Konfigurasikan peringatan CloudMonitor: Konfigurasikan aturan peringatan untuk metrik layanan umum Anti-DDoS Proxy, seperti traffic dan koneksi, serta peristiwa serangan, seperti filtering blackhole dan peristiwa pembersihan. Hal ini memungkinkan Anda menerima peringatan tepat waktu atas aktivitas anomali dan merespons dengan cepat. Untuk informasi selengkapnya, lihat CloudMonitor alerts.

      • Konfigurasikan layanan analisis log: Aktifkan layanan analisis log untuk mengumpulkan dan menyimpan log akses website selama 180 hari secara default. Hal ini berguna untuk analisis bisnis dan memenuhi persyaratan kepatuhan perlindungan terklasifikasi. Untuk informasi selengkapnya, lihat Cara cepat menggunakan fitur analisis log.

    Kuota dan batas

    • Satu nama domain dapat dikaitkan dengan maksimal delapan instans Anti-DDoS Proxy.

    • Jumlah total port kustom (selain 80 atau 443) untuk seluruh konfigurasi website di bawah satu instans Anti-DDoS Proxy tidak boleh melebihi 10.

    • Anda dapat menambahkan maksimal lima label header kustom.

    Referensi

    Pendaftaran ICP

    • Pemeriksaan dan penanganan pendaftaran ICP: Anti-DDoS Proxy (Tiongkok daratan) secara berkala memeriksa status pendaftaran ICP untuk nama domain yang dilindungi. Jika pendaftaran ICP menjadi tidak valid, Anti-DDoS Proxy (Tiongkok daratan) akan menghentikan penerusan traffic untuk layanan terkait dan menampilkan pesan "Nama domain belum menyelesaikan pendaftaran ICP. Harap perbarui status pendaftaran." pada halaman Website Config.

    • Persyaratan pendaftaran ICP ganda: Jika server origin merupakan produk Alibaba Cloud, server tersebut harus memenuhi persyaratan pendaftaran ICP baik dari Anti-DDoS Proxy maupun produk origin. Jika tidak, penerusan back-to-origin traffic akan terpengaruh. Untuk informasi lebih lanjut, lihat dokumentasi resmi masing-masing produk cloud atau hubungi dukungan teknis. Sebagai contoh, jika server origin adalah instance ECS, Anda harus memperoleh pendaftaran ICP untuk instance ECS tersebut. Untuk informasi selengkapnya, lihat Pemeriksaan pendaftaran ICP untuk server dan Proses pendaftaran ICP.

    • Pemulihan layanan: Jika Anda menerima notifikasi bahwa pendaftaran ICP Anda tidak valid, segera perbarui informasi pendaftaran Anda untuk melanjutkan layanan.

    Hapus konfigurasi website

    Jika konfigurasi website tidak lagi diperlukan, Anda dapat menghapusnya sebagai berikut:

    1. Pulihkan rekaman DNS: Ubah rekaman DNS nama domain sehingga tidak lagi mengarah ke alamat IP instance Anti-DDoS Proxy, CNAME Anti-DDoS Proxy, atau CNAME Sec-Traffic Manager.

      Peringatan

      Jika Anda menghapus konfigurasi website sebelum memulihkan rekaman DNS, layanan Anda mungkin terganggu.

    2. Hapus konfigurasi website

      • Hapus secara manual: Pada halaman Website Config, temukan konfigurasi yang dituju, lalu klik Delete di kolom Actions. Untuk informasi selengkapnya, lihat Hapus konfigurasi website.

      • Hapus secara otomatis: Satu bulan setelah instance Anti-DDoS Proxy terakhir di bawah akun Anda dirilis, sistem secara otomatis menghapus semua konfigurasi nama domain dan penerusan port Anti-DDoS Proxy di bawah akun tersebut.

    FAQ

    • Mengapa saya mendapatkan error 502 atau 504 saat mengakses website saya setelah menyelesaikan konfigurasi?

      Error ini biasanya terjadi karena pengambilan asal (origin fetch) gagal. Periksa hal-hal berikut secara berurutan:

      1. Periksa firewall/grup keamanan server origin: Pastikan Anda telah menambahkan rentang Alamat IP kembali ke asal dari Anti-DDoS Proxy ke daftar putih.

      2. Periksa konfigurasi "Enable HTTP for Origin Fetch": Jika server origin Anda hanya mendukung HTTP (mendengarkan pada Port 80), tetapi Anda telah mengonfigurasi HTTPS di Anti-DDoS Proxy tanpa mengaktifkan "Enable HTTP for Origin Fetch", maka pengambilan asal akan gagal.

      3. Periksa status server origin: Pastikan Alamat IP Asal benar dan server origin itu sendiri berjalan dengan baik.

    • Mengapa browser saya melaporkan error sertifikat setelah saya mengaktifkan HTTPS?

      Periksa hal-hal berikut:

      1. Ketidaksesuaian antara sertifikat dan nama domain: Pastikan sertifikat mencakup nama domain yang Anda tambahkan, termasuk domain www dan domain root. Sebagai contoh, sertifikat untuk www.example.com tidak dapat digunakan untuk example.com kecuali sertifikat tersebut merupakan sertifikat wildcard atau multi-domain.

      2. Rantai sertifikat tidak lengkap: Saat mengunggah sertifikat, pastikan Anda mengunggah rantai sertifikat lengkap (sertifikat server ditambah sertifikat CA perantara).

      3. Sertifikat kedaluwarsa: Periksa apakah sertifikat yang diunggah masih berlaku.

    • Bagaimana cara memastikan bahwa traffic website saya melewati Anti-DDoS Proxy?

      1. Kueri DNS: Di command line, jalankan ping <your domain name> atau dig <your domain name>. Periksa apakah alamat yang diperoleh merupakan CNAME dari instans Anti-DDoS Proxy atau alamat IP yang ditunjuknya.

      2. Laporan Konsol: Di halaman laporan Konsol Anti-DDoS Proxy, periksa apakah terdapat data lalu lintas masuk.

      3. Log server origin: Periksa log akses web server origin Anda untuk memastikan bahwa alamat IP sumber permintaan berasal dari rentang Alamat IP kembali ke asal milik Anti-DDoS Proxy.

    • Log aplikasi saya hanya mencatat alamat IP Anti-DDoS Proxy. Bagaimana cara mendapatkan alamat IP pengunjung sebenarnya?

      Hal ini merupakan perilaku yang diharapkan. Sebagai proxy, Anti-DDoS Proxy menggunakan alamat IP kembali ke asalnya untuk mengakses server origin Anda. Untuk mendapatkan alamat IP pengunjung sebenarnya, Anda perlu mengonfigurasi server web Anda (seperti Nginx atau Apache) agar mengekstraksi alamat IP dari header permintaan X-Forwarded-For. Untuk informasi lebih lanjut, lihat Dapatkan alamat IP klien sebenarnya setelah Anda mengonfigurasi instans Anti-DDoS Proxy.