全部产品
Search

搜索本产品

    Anti-DDoS:Konfigurasi aturan pengalihan port

    文档中心

    Anti-DDoS:Konfigurasi aturan pengalihan port

    更新时间:Dec 06, 2025

    Untuk melindungi layanan non-situs web Anda, seperti aplikasi client, dengan Anti-DDoS Pro dan Anti-DDoS Premium, Anda harus mengonfigurasi aturan pengalihan port. Aturan ini memastikan bahwa traffic dibersihkan oleh Anti-DDoS Pro atau Anti-DDoS Premium sebelum diteruskan ke server origin Anda. Topik ini menjelaskan cara mengonfigurasi aturan pengalihan port untuk layanan non-situs web.

    Catatan penggunaan

    • Anda hanya dapat mengonfigurasi aturan secara batch untuk instans Anti-DDoS Pro dan Anti-DDoS Premium di Daratan Tiongkok.

    • Untuk instans Anti-DDoS Pro dan Anti-DDoS Premium di Daratan Tiongkok, Anda dapat mengaktifkan sakelar Application-layer Protection guna melindungi dari serangan lapisan aplikasi yang menggunakan protokol non-HTTP/HTTPS.

    • Setelah semua instans Anti-DDoS Proxy di bawah akun Anda dilepas selama 30 hari, sistem secara otomatis menghapus semua domain terkait dan aturan pengalihan port. Penghitungan mundur 30 hari dimulai sejak pelepasan instans terakhir.

    • Saat Anda membeli instans Anti-DDoS Pro atau Anti-DDoS Premium dengan Enhanced Function Plan, port yang umum menjadi sasaran serangan refleksi UDP akan secara otomatis diblokir setelah Anda mengonfigurasi aturan pengalihan port UDP. Pemblokiran ini biasanya tidak memengaruhi layanan Anda. Namun, jika layanan Anda menggunakan salah satu port tersebut, Anda harus membukanya secara manual. Untuk informasi selengkapnya, lihat Set up UDP reflection attack mitigation.

      Catatan

      Jika Anda telah menyesuaikan port untuk mitigasi serangan refleksi UDP, pengaturan kustom Anda akan didahulukan.

    Prasyarat

    Instans Anti-DDoS Proxy (Daratan Tiongkok) atau Anti-DDoS Proxy (Luar Daratan Tiongkok) telah dibeli. Untuk informasi selengkapnya, lihat Purchase an Anti-DDoS Pro or Anti-DDoS Premium instance.

    Tambahkan aturan pengalihan port

    Tambahkan satu aturan pengalihan port

    1. Masuk ke Anti-DDoS Proxy console.

    2. Pada bilah navigasi atas, pilih wilayah instans Anda.

      • Anti-DDoS Proxy (Daratan Tiongkok): Pilih wilayah Daratan Tiongkok.

      • Anti-DDoS Proxy (Luar Daratan Tiongkok): Pilih wilayah Luar Daratan Tiongkok.

    3. Pada panel navigasi kiri, pilih Provisioning > Port Config.

    4. Pilih instans Anti-DDoS Pro atau Anti-DDoS Premium, lalu klik Create Port Forwarding Rule. Konfigurasi aturan tersebut, lalu klik Confirm.

      Catatan

      Ikon Exclamation mark di samping Forwarding Protocol menunjukkan aturan yang dihasilkan secara otomatis untuk meneruskan traffic layanan website. Anda tidak dapat mengedit atau menghapus aturan ini secara manual. Aturan tersebut akan dihapus secara otomatis ketika semua konfigurasi website yang menggunakannya dihapus dari instans Anti-DDoS Pro atau Anti-DDoS Premium Anda. Untuk informasi selengkapnya, lihat Add a website configuration.

      • Jika port server dalam informasi website adalah 80, aturan akan dihasilkan secara otomatis untuk meneruskan traffic TCP melalui forwarding port 80.

      • Jika port server dalam informasi website adalah 443, aturan akan dihasilkan secara otomatis untuk meneruskan traffic TCP melalui forwarding port 443.

      Parameter

      Deskripsi

      Forwarding Protocol

      Protokol yang digunakan untuk meneruskan traffic. Nilai yang valid: TCP dan UDP.

      Penting

      Sec-MCA tidak mendukung pengalihan port UDP.

      Forwarding Port

      Port yang digunakan oleh instans Anti-DDoS Pro atau Anti-DDoS Premium untuk meneruskan traffic.

      Catatan

      • Untuk memudahkan manajemen, kami menyarankan agar Anda mengatur Forwarding Port dan Origin Server Port dengan nilai yang sama.

      • Untuk mencegah pengguna membangun server DNS mereka sendiri untuk perlindungan, Anti-DDoS Pro dan Anti-DDoS Premium tidak mendukung port 53.

      • Untuk satu instans, setiap aturan yang menggunakan protokol yang sama harus memiliki forwarding port yang unik. Jika Anda mencoba menambahkan aturan dengan protokol dan forwarding port yang sudah digunakan, akan muncul error konflik aturan.

      • Hindari konflik dengan aturan yang dihasilkan secara otomatis untuk konfigurasi website.

      Origin Server Port

      Port yang digunakan oleh server origin.

      Back-to-origin Scheduling Algorithm

      Mode default adalah polling. Ini tidak dapat diubah.

      Application-layer Protection

      Fitur ini hanya tersedia untuk layanan berbasis TCP pada instans Anti-DDoS Pro atau Anti-DDoS Premium yang memiliki enhanced function plan. Fitur ini melindungi dari serangan lapisan aplikasi yang menggunakan protokol non-HTTP/HTTPS.

      Untuk informasi selengkapnya tentang jenis serangan, lihat DDoS attack types that can be mitigated.

      • Atur timeout koneksi baru kembali-ke-asal: Nilainya harus berupa bilangan bulat antara 1 hingga 3. Satuan: detik.

        Ketika Anti-DDoS Pro dan Anti-DDoS Premium mencoba membuat koneksi baru dengan server origin backend, koneksi akan timeout jika tidak berhasil dibuat dalam periode yang ditentukan. Pengaturan ini dapat mencegah penyerang menggunakan banyak permintaan HTTP palsu, seperti dalam serangan CC, untuk membuat koneksi TCP dengan server origin backend tanpa mengirim data valid dalam waktu lama.

      • Atur timeout koneksi baca/tulis kembali-ke-asal: Nilainya harus berupa bilangan bulat antara 60 hingga 600. Satuan: detik.

        • Timeout baca: Periode waktu yang digunakan oleh Anti-DDoS Pro dan Anti-DDoS Premium untuk menunggu respons dari server origin backend setelah mengirim permintaan. Jika tidak ada respons data yang diterima dari server origin backend dalam periode ini, koneksi akan timeout.

        • Timeout tulis: Periode waktu di mana Anti-DDoS Pro dan Anti-DDoS Premium harus berhasil mengirim data ke server origin backend. Jika data tidak dikirim dalam periode ini, koneksi akan timeout.

        Pengaturan ini dapat mencegah penyerang membuat koneksi sah lalu mengirim atau menerima data dengan laju sangat rendah untuk menduduki sumber daya server origin backend dalam waktu lama.

      Origin IP Address

      Alamat IP server origin.

      Catatan

      • Server origin dapat berupa Layanan Alibaba Cloud atau layanan dari penyedia pihak ketiga. Jika server origin merupakan Layanan Alibaba Cloud, pastikan layanan tersebut termasuk dalam Akun Alibaba Cloud Anda. Jika milik Akun Alibaba Cloud lain, hubungi account manager Anda sebelum menambahkannya.

      • Anda dapat menambahkan beberapa alamat IP origin untuk menerapkan load balancing otomatis. Pisahkan beberapa alamat IP dengan koma (,). Anda dapat mengonfigurasi maksimal 20 alamat IP origin.

    Tambahkan aturan pengalihan port secara batch

    Anda tidak dapat mengaktifkan sakelar Application-layer Protection saat menambahkan aturan pengalihan port secara batch. Untuk mengaktifkan fitur ini, Anda harus terlebih dahulu menambahkan aturan tersebut, lalu mengaktifkan sakelar Application-layer Protection untuk aturan tersebut dalam operasi batch terpisah.

    1. Pada halaman Port Config, klik Batch Operations > Add Rule.

    2. Pada kotak dialog Add Rule, konfigurasi aturan tersebut, lalu klik OK.

      Setiap baris merepresentasikan satu aturan dan harus berisi empat parameter berikut yang dipisahkan spasi: protokol, forwarding port, origin server port, dan origin IP address.

    3. Pada kotak dialog Add Rule, pilih aturan yang akan diunggah, lalu klik Upload.

    Langkah selanjutnya

    Setelah menambahkan aturan pengalihan port, Anda harus menambahkan alamat IP kembali-ke-asal instans Anda ke daftar izin (allowlist) pada server origin Anda. Selanjutnya, Anda harus memverifikasi bahwa aturan pengalihan berfungsi pada mesin lokal sebelum mengalihkan traffic layanan non-situs web Anda ke instans tersebut.

    1. Pada server origin Anda, tambahkan alamat IP kembali-ke-asal Anti-DDoS Pro dan Anti-DDoS Premium ke allowlist. Langkah ini mencegah perangkat lunak keamanan di server origin Anda memblokir traffic yang diteruskan dari instans Anda. Untuk informasi selengkapnya, lihat Add back-to-origin IP addresses of Anti-DDoS Pro and Anti-DDoS Premium to an allowlist.

    2. Pada mesin lokal, verifikasi bahwa konfigurasi aturan berfungsi. Langkah ini mencegah gangguan layanan akibat konfigurasi aturan yang salah. Untuk informasi selengkapnya, lihat Verify that traffic forwarding configurations are effective on a local machine.

      Peringatan

      Jika Anda mengalihkan traffic layanan ke instans Anda sebelum aturan pengalihan port berlaku, layanan Anda mungkin terganggu.

    3. Alihkan traffic layanan non-situs web Anda ke instans Anti-DDoS Pro atau Anti-DDoS Premium Anda.

      Umumnya, Anda dapat mengalihkan traffic dengan mengganti alamat IP layanan dengan Alamat IP eksklusif instans Anda. Metode spesifiknya bergantung pada platform pengembangan layanan Anda.

      Catatan

      • Jika layanan Anda menggunakan nama domain untuk menentukan alamat server—misalnya, nama domain diatur sebagai alamat server dalam client game atau dikodekan keras (hard-coded) dalam program client—Anda harus mengubah Rekaman DNS. Di penyedia layanan DNS Anda, arahkan Rekaman A nama domain tersebut ke Alamat IP eksklusif instans Anda. Untuk informasi selengkapnya, lihat Change a DNS record.

      • Dalam beberapa skenario, Anda mungkin perlu menggunakan nama domain untuk menambahkan layanan Lapisan 4. Hal ini memungkinkan Anda mengaitkan layanan tersebut dengan beberapa alamat IP Anti-DDoS Pro atau Anti-DDoS Premium serta mengaktifkan alih bencana traffic otomatis di antara alamat-alamat tersebut. Dalam kasus ini, kami menyarankan agar Anda menambahkan layanan non-situs web dengan menambahkan nama domain dan memodifikasi Rekaman CNAME-nya. Untuk informasi selengkapnya, lihat Use a CNAME record to add a non-website service.

    Operasi lainnya

    Ubah alamat IP origin

    Gambar berikut menunjukkan cara mengubah alamat IP origin untuk satu aturan (①) dan untuk beberapa aturan secara batch (②).image

    Ubah sakelar Application-layer Protection

    Gambar berikut menunjukkan cara mengubah sakelar untuk satu aturan (①) dan untuk beberapa aturan secara batch (②). Jangan klik tombol Configure di bawah Application-layer Protection. Tombol ini membuka halaman kebijakan mitigasi.

    Saat Anda mengaktifkan sakelar secara batch, timeout koneksi baru kembali-ke-asal default adalah 3 detik, dan timeout koneksi baca/tulis kembali-ke-asal default adalah 600 detik.

    image

    Hapus aturan pengalihan port

    Peringatan

    Jika Anda tidak lagi perlu menggunakan alamat IP Anti-DDoS Pro atau Anti-DDoS Premium untuk meneruskan traffic suatu layanan, Anda dapat menghapus aturan yang ditambahkan secara manual untuk layanan tersebut. Sebelum menghapus aturan, Anda harus mengarahkan kembali traffic layanan Anda ke alamat IP layanan asli. Jika Anda menghapus aturan sebelum mengalihkan kembali traffic, layanan Anda mungkin terganggu.

    Gambar berikut menunjukkan cara menghapus satu aturan (①) dan beberapa aturan secara batch (②).

    image