DDoS高防支援配置連接埠轉寄規則,然後使用DDoS高防的獨享IP作為業務IP。配置後支援傳輸層防護(例如,防護SYN Flood、UDP Flood等),以及非HTTP/HTTPS協議的應用程式層防護。本文介紹如何快速為非網站業務配置DDoS高防。
前提條件
已購買DDoS高防(中國內地)執行個體或DDoS高防(非中國內地)執行個體。具體操作,請參見購買DDoS高防執行個體。
步驟一:添加連接埠轉寄規則
業務接入DDoS高防前,您需要先添加連接埠轉寄規則,業務流量會根據您配置的規則進行轉寄。
登入DDoS高防控制台。
在頂部功能表列左上方處,選擇地區。
DDoS高防(中國內地):選擇中國內地地區。
DDoS高防(非中國內地):選擇非中國內地地區。
在左側導覽列,選擇。
在連接埠接入頁面,選擇目標DDoS高防執行個體,添加連接埠轉寄規則。
說明轉寄協議後有
表徵圖的規則表示配置網站業務時自動產生的規則,用來轉寄網站業務的流量。不支援手動編輯和刪除,當使用該轉寄規則的所有網站配置取消與當前DDoS高防執行個體的關聯後,規則將會被自動刪除。關於如何配置網站業務,請參見添加網站配置。如果網站資訊中的伺服器連接埠為80,則自動產生一條轉寄協議為TCP、轉送連接埠為80的規則。
如果網站資訊中的伺服器連接埠為443,則自動產生一條轉寄協議為TCP、轉送連接埠為443的規則。
配置項
說明
應用程式層防護增強連接埠
僅TCP協議的業務支援開啟,防護針對非HTTP/HTTPS的應用程式層協議攻擊。
攻擊類型介紹,請參見適合防禦的DDoS攻擊類型。
轉寄協議
轉寄協議類型,可選值:TCP、UDP。
轉送連接埠
DDoS高防執行個體使用的轉送連接埠。
說明為了便於管理,建議您將轉送連接埠與來源站點連接埠保持一致。
為了防止私自搭建DNS防護伺服器,DDoS高防不支援53連接埠接入配置。
同一DDoS高防執行個體和轉寄協議下,每條規則的轉送連接埠必須唯一。當您嘗試添加同協議+同轉送連接埠的規則時,系統將提示規則衝突。
請避免與通過網站配置自動產生的規則衝突。
來源站點連接埠
來源站點使用的業務連接埠。
回源轉寄模式
預設為輪詢模式,不支援修改。
來源站點IP
來源站點的IP地址。
說明支援添加多個來源站點IP以實現自動負載平衡。多個IP間以半形逗號(,)分隔。最多可配置20個來源站點IP。
步驟二:將業務接入DDoS高防
連接埠轉寄規則建立完成後,您還需要將要防護的實際業務IP替換為DDoS高防的獨享IP,才能正式將業務流量切換到DDoS高防。完成切換後,業務流量會先經過DDoS高防清洗,再轉寄到來源站點伺服器。
在來源站點伺服器上設定允許存取DDoS高防的回源IP,避免DDoS高防轉寄回來源站點的流量被來源站點伺服器上的安全軟體攔截。具體操作,請參見允許存取DDoS高防回源IP。
通過本機電腦驗證規則配置已經生效,避免規則配置不正確導致業務異常。具體操作,請參見本地驗證轉寄配置生效。
警告如果規則未生效就執行業務切換,將可能導致業務中斷。
將非網站業務的業務流量切換到DDoS高防執行個體。
通常您只需將業務IP替換為DDoS高防執行個體的獨享IP,即可正式將業務流量切換至DDoS高防執行個體,具體操作請以業務開發平台實際情況為準。
說明如果您的業務同時使用網域名稱來指定伺服器位址(例如,遊戲用戶端中設定example.com網域名稱作為伺服器位址,或該網域名稱已經寫在用戶端程式中),您無需佈建網域名接入,但需要在網域名稱的DNS解析服務提供者處修改DNS解析,將該網域名稱的A記錄指向DDoS高防執行個體的獨享IP。具體操作,請參見修改DNS解析。
在某些情境下,您可能需要用網域名稱來接入四層業務,並實現業務關聯多高防IP且多高防IP間自動切換流量。這種情況下,推薦您通過添加網域名稱並修改CNAME解析來接入非網站業務。具體操作,請參見CNAME解析接入非網站業務。
步驟三:設定連接埠轉寄和防護策略
完成業務流量切換後,DDoS高防使用預設策略協助您清洗和轉寄流量。您可以根據業務需要,自訂DDoS防護策略和開啟會話保持、健全狀態檢查,最佳化DDoS高防的轉寄功能。
在連接埠接入頁面,選擇目標DDoS高防執行個體後,定位到目標轉寄規則,根據業務需要進行如下配置。
配置項 | 說明 |
會話保持 | 如果您的非網站業務接入DDoS高防後存在登入逾時需要重新登入、上傳資料斷開等問題,您可以開啟會話保持功能。會話保持可以在指定的時間範圍內將同一用戶端的請求轉寄至同一台後端伺服器上。
|
健全狀態檢查 | 適用於業務有多個來源站點IP時,判斷來源站點伺服器的業務可用性,在轉寄用戶端請求時避開異常伺服器。
|
DDoS 防護策略 | 開啟DDoS防護策略,可以對接入DDoS高防的非網站業務的連線速度、包長度等參數進行限制,緩解小流量的串連型攻擊。
|
步驟四:查看連接埠防護資料
非網站業務接入DDoS高防後,您可以在DDoS高防的安全總覽頁面查看連接埠流量轉寄資料。
在左側導覽列,單擊安全總覽。
單擊執行個體頁簽,設定要查詢的執行個體和時間範圍,查看相關資訊。
功能名稱
說明
頻寬(圖示①)
DDoS高防(中國內地):提供頻寬趨勢圖,以bps或者pps展示指定時間段內執行個體上的入流量、出流量、攻擊流量、限速流量趨勢。
DDoS高防(非中國內地):提供三個頁簽,分別是總覽(與頻寬趨勢圖相同)、入方向分布(入方向流量的分布資訊)、出方向分布(出方向流量的分布資訊)。
串連數(圖示②)
並發串連數:用戶端同一時間與DDoS高防建立的TCP串連數量。
活躍串連數:當前所有狀態為Established的TCP串連數量。
非活躍串連數:當前除了Established狀態以外,所有其他狀態的TCP串連數量。
新建串連數:用戶端每秒內新增的與DDoS高防通訊的TCP串連數。
網路層攻擊事件、規格超限警示、目的限速事件(圖示③)
網路層攻擊事件:
將游標放置在被攻擊的IP或連接埠上,可以查看被攻擊的IP和連接埠資訊、攻擊的類型和峰值、防護結果。
規格超限警示:
事件類型包含業務頻寬、建立串連數和並發串連數。當事件類型對應規格超過購買的規格時會進行提示,對當前業務無影響,建議擴容升級。具體操作,請參見升級執行個體。
您可以單擊狀態列的詳情跳轉到系統日誌頁面,查看詳細資料。
說明超限警示資料的更新時間為每周一的10:00(GMT+8),更新後的資料為前一天的規格超限警示資料。如果您配置了站內信、簡訊或郵件通知,您也將會在每周一的10:00(GMT+8)收到對應通知,且資料為前一天的規格超限警示資料。
目的限速事件
當業務的建立串連數、並發串連數或業務頻寬等遠超執行個體規格時,會觸發對應的限速策略,對業務產生影響,產生目的限速事件。
您可以單擊狀態列的詳情跳轉到系統日誌頁面,查看詳細資料。
正常業務地區分布、正常業務電訊廠商分布(圖示④)
正常業務地區分布:正常業務流量的來源地區分布。
正常業務電訊廠商分布:正常業務流量的電訊廠商分布。