DDoS高防通過將網站流量牽引至高防節點進行清洗,過濾惡意攻擊流量,並將正常訪問流量轉寄回來源站點,從而保障網站業務的穩定和可用。本文將引導您如何為網站業務快速接入DDoS高防並完成關鍵配置。
適用範圍
DDoS高防執行個體:已根據業務需求購買DDoS高防執行個體。
ICP備案:若使用DDoS高防(中國內地)執行個體,請確保網域名稱已完成ICP備案。
步驟一:添加網站配置
使用DDoS高防防護網站業務時,首先需在DDoS高防執行個體中添加要防護的網域名稱,設定業務流量的轉寄策略。
登入DDoS高防控制台的網域名稱接入頁面。
在頂部功能表列左上方處,根據DDoS高防產品選擇地區。
DDoS高防(中國內地):選擇中國內地地區。
DDoS高防(非中國內地):選擇非中國內地地區。
在網域名稱接入頁面,單擊添加網站。
說明也可以在頁面最下方單擊大量匯入,大量匯入網站配置。網站配置採用XML檔案格式傳入,關於檔案格式的詳細介紹,請參見其他動作。
填寫網站接入資訊,然後單擊下一步。
基礎配置
功能套餐:選擇要關聯的DDoS高防執行個體的功能套餐。可選項:標準功能、增強功能。
說明將游標放置在功能套餐後的
表徵圖上,查看標準功能和增強功能套餐的功能差異。更多資訊,請參見標準功能和增強功能的差異。執行個體:選擇要關聯的DDoS高防執行個體。
重要一個網站網域名稱最多可以關聯8個DDoS高防執行個體,且只能關聯同一種功能套餐下的執行個體。
網站:填寫要防護的網站網域名稱,支援精確網域名稱(如
www.example.com)和泛網域名稱(如*.example.com)。說明如果同時存在泛網域名稱和精確網域名稱配置(例如,
*.aliyundoc.com和www.aliyundoc.com),DDoS高防優先使用精確網域名稱(即www.aliyundoc.com)所配置的轉寄規則和防護策略。如果填寫的是頂層網域,僅防護頂層網域,不支援對次層網域等子網域名稱進行防護。如果您要防護次層網域,請輸入次層網域或者泛網域名稱。
僅支援配置為網域名稱,不支援填寫網站IP。
協議類型:選擇網站支援的協議。
HTTP / HTTPS:Web網站的基礎協議。
說明HTTPS相關配置,請參見HTTPS配置頁簽說明。
Websocket / Websockets:即時通訊協定,選中後會自動關聯HTTP/HTTPS。
伺服器位址:設定DDoS高防回源時請求的後端伺服器(即來源站點伺服器)地址。
來源站點IP:填寫來源站點伺服器的公網IP地址,支援多個IP,用半形逗號(,)分隔。填寫執行個體如下:
來源站點在阿里雲:一般填寫來源站點ECS的公網IP地址。如果ECS前面部署了SLB,則填寫SLB的公網IP地址。
來源站點在阿里雲外的IDC機房或者其他雲端服務商:使用
ping 網域名稱命令,查詢網域名稱解析到的公網IP地址,並填寫擷取的公網IP。
來源站點網域名稱:
適用情境:適用於來源站點和高防之間配置了其他代理服務的情境。填寫樣本如下:
如前置代理為WAF,可填寫WAF的CNAME地址。更多資訊,請參見通過聯合部署DDoS高防和WAF提升網站防護能力。
如果設定的來源站點網域名稱為OSS儲存空間(Bucket)的預設外網訪問網域名稱,則對應儲存空間必須已綁定自訂網域名。更多資訊,請參見綁定自訂網域名。
填寫限制:最多支援配置10個來源站點網域名稱,多個網域名稱間通過換行分隔。
服務器連接埠:設定來源站點伺服器上監聽網站服務的連接埠。
HTTP/Websocket :預設連接埠為 80。
HTTPS/Websockets: 預設連接埠為 443。
自訂伺服器連接埠:
多連接埠設定:支援多個連接埠,用半形逗號(,)分隔。所有接入DDoS高防執行個體防護的網站業務下自訂的不同連接埠(包含不同協議下的自訂連接埠)的總數不能超過10個。
連接埠範圍(HTTP/HTTPS):80~65535
HTTPS配置
網站支援的協議選擇HTTPS加密認證時,請完成以下配置。
配置認證:啟用HTTPS必須配置與網站網域名稱匹配的SSL認證。
手動上傳:填寫認證名稱:,並將認證檔案和私密金鑰檔案中的常值內容分別複製粘貼到認證檔案和私密金鑰檔案框中。
說明對於PEM、CER、CRT格式的認證,您可以使用文字編輯器直接開啟認證檔案,複製其中的常值內容。對於其他格式(例如,PFX、P7B等)的認證,您需要將認證檔案轉換成PEM格式後,才能用文字編輯器開啟並複製其中的常值內容。關於認證格式的轉換方式,請參見認證格式轉換或HTTPS認證轉換成PEM格式。
如果該HTTPS認證有多個認證檔案(例如,憑證鏈結),您需要將憑證鏈結中的常值內容拼接合并後粘貼至認證檔案中。
選擇已有認證:通過阿里雲Certificate Management Service (Original SSL Certificate)申請的認證,或者您已將認證上傳到數位憑證管理服務,可以直接選擇認證。
配置TLS安全性原則:
說明更多說明,請參見自訂伺服器HTTPS認證的TLS安全性原則。
TLS版本::選擇國際標準HTTPS認證支援的TLS協議版本。
支援TLS1.0及以上版本,相容性最好,安全性較低:支援TLS 1.0、TLS 1.1和TLS 1.2。
支援TLS1.1及以上版本,相容性較好,安全性較好:支援TLS 1.1和TLS 1.2。
支援TLS1.2及以上版本,相容性較好,安全性很高:支援TLS 1.2。
開啟支援TLS1.3:支援TLS1.3。
加密套件::選擇國際標準HTTPS認證支援的加密套件,或自訂加密套件。將游標放置在某個加密套件選項上的
表徵圖,查看該選項包含的加密套件。
啟用雙向認證:
阿里雲簽發:在請選擇預設CA認證下拉框中選擇,通過阿里雲Certificate Management Service (Original SSL Certificate)簽發的CA認證。
非阿里雲簽發:
請先將自簽名CA認證上傳至Certificate Management Service (Original SSL Certificate)。具體操作,請參見上傳認證倉庫(上傳認證)。
在請選擇預設CA認證下拉框中選擇上傳的自簽CA認證。
啟用OCSP Stapling:OCSP表示線上憑證狀態通訊協定,用於向簽發服務端認證的CA(Certificate Authority)中心發起查詢請求,檢查認證是否被吊銷。在與伺服器進行TLS握手時,用戶端必須同時擷取認證和對應的OCSP響應。
重要OCSP 響應經由 CA 數位簽章,無法偽造,因此啟用此功能不會引入額外的安全風險。
未啟用(預設):用戶端在 TLS 握手請求時自行向 CA 中心發起 OCSP查詢,以驗證認證是否被吊銷。此過程會阻塞串連,在網路不佳時可能導致頁面載入延遲。
啟用:由DDoS高防來執行OCSP查詢並緩衝查詢結果(緩衝時間為3600秒)。當有用戶端向伺服器發起TLS握手請求時,DDoS 高防會將緩衝的 OCSP 響應隨憑證鏈結一同發送給用戶端,從而避免用戶端查詢所產生的阻塞問題,從而提升 HTTPS 效能。
國密HTTPS:僅DDoS高防(中國內地)執行個體支援上傳國密標準HTTPS認證,認證演算法僅支援SM2。
仅支持国密客户端访问:預設關閉。
開啟:僅處理安裝國密標準認證的用戶端發來的請求。
說明開啟後國際標準HTTPS認證對應的TLS套件、雙向認證及OCSP Stapling功能配置將不會生效。
關閉:處理安裝國密標準認證的用戶端,以及安裝國際標準認證的用戶端發來的請求。
国密HTTPS证书:您需要先將認證上傳到數位憑證管理服務,才能在此處選擇。
国密HTTPS加密套件:預設啟用如下加密套件,不支援修改。
ECC-SM2-SM4-CBC-SM3
ECC-SM2-SM4-GCM-SM3
ECDHE-SM2-SM4-CBC-SM3
ECDHE-SM2-SM4-GCM-SM3
進階設定
開啟HTTPS的強制跳轉:適用於網站同時支援HTTP和HTTPS協議。開啟該設定後,所有HTTP請求將被強制轉換為HTTPS請求,且預設跳轉到443連接埠。
重要只有同時選中HTTP和HTTPS協議,並且沒有選中Websocket協議時,才可以開啟該設定。
HTTP非標準連接埠(80以外的連接埠)訪問的情境下,如果開啟了HTTPS強制跳轉,則訪問預設跳轉到HTTPS 443連接埠。
啟用HTTP2:開關開啟表示允許HTTP 2.0協議用戶端接入高防,但此時DDoS高防仍使用HTTP 1.1回源到來源站點。HTTP 2.0功能規格說明如下:
基礎規格:
串連關閉後的不活動逾時時間(http2_idle_timeout):120s
單串連最大請求數(http2_max_requests):1000
單串連最大並發流(http2_max_concurrent_streams):4
HPACK 解壓縮後整個要求標頭列表的最大值(http2_max_header_size):256K
HPACK 壓縮的要求標頭欄位的最大值(http2_max_field_size):64K
可設定規格:支援設定設定HTTP2.0 Stream數上限,即用戶端與DDoS高防間允許的最大並發流數量。
設定前向長連線逾時時間:用戶端與DDoS高防之間建立的 TCP 長串連,設定該串連的空閑逾時時間(兩次用戶端請求之間的最大等待時間)。
說明若在設定時間內無新請求,DDoS高防將主動關閉串連以釋放資源。
填寫轉寄配置,然後單擊下一步。
回源設定
回源負載演算法:當配置了多個來源站點IP或來源站點網域名稱時,可通過修改回源負載平衡演算法或者為不同伺服器設定權重,決定流量在多個來源站點間的分配方式。
方案
適用情境
機制說明
輪詢(預設)
多來源站點且對來源站點負載均勻要求較高的情境。
所有請求輪流分配給所有伺服器位址,預設所有伺服器位址具有相同權重。支援修改伺服器權重,伺服器權重越大,被分配到請求的可能性越高。
IP hash
需要保持使用者會話一致性的情境,極端情況下可能存在負載不均衡。
將來自同一用戶端IP的請求始終定向到同一台來源站點伺服器,以保證會話一致性。支援設定IP hash的同時為伺服器設定權重,根據伺服器的處理能力進行權重分配,可將流量優先導向效能更強的伺服器。
Least time
對訪問速度和響應延遲極其敏感的業務(如遊戲、線上交易)。
通過智能DNS解析能力和Least time回源演算法,保證業務流量從接入防護節點到轉寄回來源站點伺服器整個鏈路的時延最短。
回源重試:表示對網域名稱轉寄來源站點的可用性進行健全狀態檢查的探測次數,預設值3。回源重試機制如下:
僅當業務流量訪問高防節點時觸發回源重試功能,當高防節點檢測到標題來源站不可用時會進行回源重試。
超過重試次數仍然不可達時將進入靜默狀態,不再對該來源站點進行流量轉寄和探測。
靜默結束後重新根據業務流量觸發回源重試功能。如果回源重試成功,則對來源站點重新拉起。
流量標記:
要求標頭欄位轉寄配置:DDoS高防支援要求頭轉寄配置功能,可以在轉寄請求到來源站點時添加或修改HTTP要求標頭資訊,協助識別和標記通過高防的流量。
插入 X-Client-IP 擷取真實IP:用於傳遞用戶端真實原始的IP地址。
插入 X-True-IP 擷取建連IP:用於傳遞用戶端建立串連的IP地址。
插入 Web-Server-Type 擷取服務類型:通常由第一個代理添加,用於告知後端伺服器處理當前請求的前端Web伺服器或代理類型。
插入 WL-Proxy-Client-IP 擷取建連IP:功能與X-Client-IP相同,為 Oracle WebLogic Server 特有的要求標頭。
插入 X-Forwarded-Proto 擷取監聽協議:用戶端與第一個代理之間建立串連所使用的協議。
流量標記
預設標記
說明JA3指紋、JA4指紋、客戶端指紋、HTTP2.0指紋需聯絡商務經理配置。
如果業務使用自訂欄位代替預設標記,請參考下文自訂Header。配置後,從高防轉寄到來源站點的請求中解析該欄位,解析樣本請參見配置DDoS高防後擷取真實的請求來源IP。
客戶端真實源連接埠:HTTP Header中用戶端真實源連接埠所在的頭部欄位名,通常使用
X-Forwarded-ClientSrcPort欄位記錄。客戶端真實源IP:HTTP Header中用戶端真實源IP所在的頭部欄位名,通常使用
X-Forwarded-For欄位記錄。JA3指紋:HTTP Header中用戶端JA3指紋的MD5雜湊值所在的頭部欄位名,通常使用
ssl_client_ja3_fingerprint_md5欄位記錄。JA4指紋:HTTP Header中用戶端JA4指紋MD5雜湊值所在的頭部欄位名,通常使用
ssl_client_ja4_fingerprint_md5欄位記錄。客戶端指紋:HTTP Header中用戶端TLS指紋的MD5雜湊值所在的頭部欄位名,通常使用ssl_client_tls_fingerprint_md5欄位記錄。
HTTP2.0指紋:HTTP Header中用戶端HTTP2.0指紋的MD5雜湊值所在的頭部欄位名,通常使用
http2_client_fingerprint_md5欄位記錄
自訂Header:在請求中增加自訂HTTP Header(包含欄位名稱和欄位值)來標記經過DDoS的請求。高防在代理網站流量時,會在轉寄到來源站點的請求中添加對應的欄位值,方便後端服務進行統計分析。
命名限制:為避免關聯請求原始頭部欄位的內容被改寫,自訂Header的欄位名(Key)不得使用以下保留或常用欄位:
高防預設欄位:
X-Forwarded-ClientSrcPort:預設被用於擷取訪問高防七層引擎的用戶端連接埠。X-Forwarded-ProxyPort:預設被用於擷取訪問高防七層引擎的監聽連接埠。X-Forwarded-For:預設被用於擷取訪問高防七層引擎的用戶端IP。ssl_client_ja3_fingerprint_md5:預設被用於擷取用戶端JA3指紋MD5雜湊值。ssl_client_ja4_fingerprint_md5:預設被用於擷取用戶端JA4指紋MD5雜湊值。ssl_client_tls_fingerprint_md5:預設被用於擷取用戶端TLS指紋的MD5雜湊值。http2_client_fingerprint_md5:預設被用於擷取用戶端HTTP2.0指紋的MD5雜湊值。
標準HTTP欄位:如host、user-agent、connection、upgrade等。
常見代理欄位:如x-real-ip、x-true-ip、x-client-ip、web-server-type、wl-proxy-client-ip、eagleeye-rpcid、eagleeye-traceid、x-forwarded-cluster、x-forwarded-proto等被廣泛使用的自訂HTTP頭部欄位。
數量限制:最多支援添加5個自訂Header標籤。
配置建議:
請優先使用預設標記。
建議先在測試環境驗證header欄位配置效果後再應用到生產環境。
欄位值長度建議控制在100字元以內,避免影響轉寄效能。
Cname Reuse:選擇是否開啟CNAME複用。開啟CNAME複用後,只需將同一個伺服器上多個網域名稱的解析指向同一個高防CNAME地址,即可將多個網域名稱接入高防,無需為每個網域名稱分別添加高防網站配置。更多資訊,請參見CNAME複用。
重要僅DDoS高防(非中國內地)支援配置該參數。
其他設定
開啟HTTP回源:如果網站不支援HTTPS回源,請務必開啟該設定。開啟該設定後,所有HTTPS協議請求將通過HTTP協議回源、所有Websockets協議請求將通過Websocket協議回源,且預設回源連接埠為80。
說明HTTPS非標準連接埠(443以外的連接埠)訪問的情境下,如果開啟了HTTP回源,則訪問預設跳轉到來源站點HTTP 80連接埠。
HTTP2.0回源:啟用HTTP2.0回源後,DDoS將通過HTTP2.0協議向來源站點回源。。
警告此功能配置,需聯絡商務經理開通。
若來源站點不支援HTTP2.0,請勿配置,否則網站無法訪問。
cookie設定
下發狀態:預設開啟。DDoS高防將會在用戶端(如瀏覽器)植入Cookie用於區分統計不同用戶端或者擷取用戶端的指紋資訊等。詳細介紹,請參見設定CC安全防護。
重要如果應用在接入高防後出現登入閃退或會話丟失問題,可以嘗試關閉此開關。但請注意,關閉後部分CC防護功能將無法生效。
Secure屬性:預設關閉。若開啟,Cookie只會在HTTPS串連中被發送,而不會在HTTP串連中發送,有助於保護Cookie不被攻擊竊取。
說明當網站業務僅支援HTTPS連結時建議開啟。
設定新建連線逾時時間:DDoS高防嘗試建立到來源站點的連線時間。
說明超過該時間串連未建立完成,會被認定為失敗。
設定讀連線逾時時間:DDoS高防成功建立串連並向來源站點發出讀取資料請求之後,等待來源站點返迴響應資料的最長時間。
設定寫連線逾時時間:資料從DDoS高防發送出去之後,並由來源站點開始處理之前,DDoS高防等待的時間長度。
說明超過這段時間,如果DDoS高防還沒有成功地將所有資料發送給來源站點,或者來源站點沒有開始處理資料,會被認定為失敗。
回源長串連:由於在快取服務器與來源站點之間,TCP串連在一段時間內保持活躍,而不是每完成一次請求就關閉,從而造成資源浪費。開啟回源長串連後可減少建立串連的時間和資源消耗,提高請求處理的效率與速度。
複用長連接的請求個數:在DDoS高防向來源站點建立的一個TCP串連中,支援發送的HTTP請求個數,可以減少因頻繁建立和關閉串連所帶來的延遲和資源消耗。
說明建議小於等於後端來源站點(如:WAF、SLB)上配置的長串連請求複用個數,以免長串連關閉造成業務無法訪問。
空閑長連線逾時時間:DDoS高防向來源站點建立的一個TCP長串連,在沒有資料轉送之後,在高防的串連池保持開啟狀態的最長時間。這個時間段內如果沒有新的請求,該串連將被關閉,以釋放系統資源。
說明建議小於等於後端來源站點(如:WAF、SLB)上配置的逾時時間長度,以免長串連關閉造成業務無法訪問。
步驟二:將網站業務流量切換到DDoS高防
網站的訪問流量需要先經過DDoS高防清洗再轉寄到來源站點伺服器,實現由DDoS高防執行個體協助網站防禦DDoS攻擊流量。
允許存取回源IP: 在來源站點伺服器的安全性原則(如防火牆、安全性群組)中,將DDoS高防的回源IP段允許存取(白名單),避免由高防轉寄回來源站點的流量被誤攔截。具體操作,請參見允許存取DDoS高防回源IP。
本地驗證配置: 在切換DNS解析前,通過修改本地
hosts檔案等方式,驗證高防轉寄配置是否按預期工作,以規避業務中斷風險。具體操作,請參見本地驗證轉寄配置生效。切換DNS解析: 本地驗證成功後,將網站網域名稱的DNS解析記錄修改為高防提供的CNAME地址。此操作將正式把業務流量切換至高防進行防護。具體操作,請參見使用CNAME或IP將網站網域名稱解析到DDoS高防。
步驟三:設定網站業務防護策略
完成接入後,DDoS高防不僅預設為接入防護的網站開啟了DDoS全局防护策略、AI智能防護和頻率控制防護功能。還可在網站業務DDoS防護頁簽,為網站開啟更多的防護功能或修改防護功能的規則。
在網域名稱接入頁面,定位到目標網域名稱,單擊操作列的防護設定。
在網站業務DDoS防護頁簽下,根據需要為目標網域名稱設定DDoS防護策略。
配置項
說明
AI智能防護
預設開啟,由智能巨量資料分析引擎自學習業務流量基準,發現並阻斷新型CC攻擊,在流量異常時,基於歷史流量分布,動態調整各執行模組策略阻斷異常請求。支援手動修改防護模式和等級。更多資訊,請參見設定AI智能防護。
DDoS全局防护策略
預設開啟,DDoS防護引擎根據流量清洗力度,為接入高防防護的網站業務提供三套內建的全域防護策略,協助業務在攻擊發生的瞬間快速應對脈衝式攻擊,提高響應及時性。更多資訊,請參見設定DDoS全域防護策略。
黑/白名單
開啟針對網域名稱的訪問源IP黑白名單後,黑名單IP/IP段對網域名稱的訪問請求將會被直接阻斷,白名單IP/IP段對網域名稱的訪問請求將被直接允許存取,且不經過任何防護策略過濾。更多資訊,請參見設定黑白名單(針對網域名稱)。
地區封鎖
一鍵阻斷來自指定地區來源IP的所有網站訪問請求。更多資訊,請參見設定地區封鎖(針對網域名稱)。
精準存取控制
使用常見的HTTP欄位(例如IP、URL、Referer、UA、參數等)設定匹配條件,用來篩選訪問請求,並對命中條件的請求設定允許存取、封鎖、挑戰操作。更多資訊,請參見設定CC安全防護。
頻率控制
預設開啟,限制單一源IP對網站的訪問頻率。頻率控制開啟後自動生效,且預設使用正常防護模式,協助網站防禦一般的CC攻擊。支援手動調整防護模式和自訂訪問頻率控制規則。更多資訊,請參見設定頻率控制。
步驟四:查看網站業務防護資料
網站業務接入DDoS高防後,可以在DDoS高防控制台使用安全報表和日誌功能查看業務防護資料。
在安全總覽頁面,查看執行個體和網域名稱的業務資料以及遭受的DDoS攻擊詳情。更多資訊,請參見安全總覽。
在動作記錄頁面,查看重要操作記錄。更多資訊,請參見動作記錄。
在全量日誌分析頁面,查看網站業務的日誌。更多資訊,請參見快速使用全量日誌分析。
說明DDoS高防全量日誌分析是增值服務,需要單獨開通並啟用。開通全量日誌分析後,阿里雲Log Service將對接DDoS高防的網站訪問日誌和CC攻擊日誌,並對採集到的日誌資料進行即時檢索與分析,以儀錶盤形式向您展示查詢結果。更多資訊,請參見什麼是Log Service。
常見問題
接入高防後,使用者反映登入時出現閃退或會話丟失?
這很可能是由DDoS高防的Cookie植入功能引起的,該功能用於CC攻擊防護。您可以嘗試在 > cookie設定 中,關閉下發狀態開關。
警告請注意,關閉此功能會影響部分CC防護策略的效果。
我剛購買了執行個體,網站是不是就受保護了?
不是。購買執行個體只是第一步。在控制台完成添加網站配置,然後將您網域名稱的DNS解析指向DDoS高防提供的CNAME地址。只有在DNS切換生效後,您的網站流量才會經過高防,從而獲得保護。