DDoS高防可防護網站類業務,將網站網域名稱解析到DDoS高防,網站業務流量會先到DDoS高防進行防護,安全流量再由DDoS高防轉寄給來源站點伺服器。本文介紹如何快速為網站業務配置DDoS防護。
前提條件
已購買DDoS高防(中國內地)執行個體或DDoS高防(非中國內地)執行個體。具體操作,請參見購買DDoS高防執行個體。
步驟一:添加網站配置
使用DDoS高防防護網站業務時,您必須首先在DDoS高防執行個體中添加要防護的網域名稱,設定業務流量的轉寄策略。
登入DDoS高防控制台。
在頂部功能表列左上方處,選擇地區。
DDoS高防(中國內地):選擇中國內地地區。
DDoS高防(非中國內地):選擇非中國內地地區。
在左側導覽列,選擇。
在網域名稱接入頁面,單擊添加網站。
說明您也可以在頁面最下方單擊大量匯入,大量匯入網站配置。網站配置採用XML檔案格式傳入,關於檔案格式的詳細介紹,請參見網站配置XML格式說明。
填寫網站接入資訊,然後單擊下一步。
配置項
說明
功能套餐
選擇要關聯的DDoS高防執行個體的功能套餐。可選項:標準功能、增強功能。
說明將游標放置在功能套餐後的
表徵圖上,查看標準功能和增強功能套餐的功能差異。更多資訊,請參見DDoS高防(中國內地&非中國內地)功能套餐。執行個體
選擇要關聯的DDoS高防執行個體。
一個網站網域名稱最多可以關聯8個DDoS高防執行個體,且只能關聯同一種功能套餐下的執行個體。
網站
填寫要防護的網站網域名稱。具體要求如下:
網域名稱可以由英文字母(a~z、A~Z,不區分大小寫)、數字(0~9)以及短劃線(-)組成。網域名稱的首位必須是字母或數字。
支援填寫泛網域名稱,例如,
*.aliyundoc.com。使用泛網域名稱時,DDoS高防自動匹配該泛網域名稱對應的子網域名稱。如果同時存在泛網域名稱和精確網域名稱配置(例如,
*.aliyundoc.com和www.aliyundoc.com),DDoS高防優先使用精確網域名稱(即www.aliyundoc.com)所配置的轉寄規則和防護策略。
說明如果您填寫的是頂層網域,DDoS高防僅防護您的頂層網域,不支援對次層網域等子網域名稱進行防護。如果您要防護次層網域,請輸入次層網域或者泛網域名稱。
僅支援配置為網域名稱,不支援填寫網站IP。
協議類型
選擇網站支援的協議類型。可選項:
HTTP
HTTPS:網站支援HTTPS加密認證時,請選中HTTPS協議。並在完成網站配置後上傳網站網域名稱使用的HTTPS認證。關於上傳認證的操作,請參見上傳HTTPS認證。您還可以為網站自訂TLS安全性原則。具體操作,請參見自訂TLS安全性原則。
選中HTTPS協議後,可以根據需要開啟以下進階設定。
開啟HTTPS的強制跳轉:適用於網站同時支援HTTP和HTTPS協議。開啟該設定後,所有HTTP請求將被強制轉換為HTTPS請求,且預設跳轉到443連接埠。
重要只有同時選中HTTP和HTTP協議,並且沒有選中Websocket協議時,才可以開啟該設定。
HTTP非標準連接埠(80以外的連接埠)訪問的情境下,如果開啟了HTTPS強制跳轉,則訪問預設跳轉到HTTPS 443連接埠。
開啟HTTP回源:如果網站不支援HTTPS回源,請務必開啟該設定。開啟該設定後,所有HTTPS協議請求將通過HTTP協議回源、所有Websockets協議請求將通過Websocket協議回源,且預設回源連接埠為80。
重要HTTPS非標準連接埠(443以外的連接埠)訪問的情境下,如果開啟了HTTP回源,則訪問預設跳轉到來源站點HTTP 80連接埠。
啟用HTTP2:開關開啟表示允許HTTP 2.0協議用戶端接入高防,但此時DDoS高防仍使用HTTP 1.1回源到來源站點。
Websocket:選中該協議將自動同時選中HTTP協議,不支援單獨選中Websocket協議。
Websockets:選中該協議將自動同時選中HTTPS協議,不支援單獨選中Websockets協議。
伺服器位址
選擇來源站點伺服器的地址類型,並填寫來源站點伺服器的地址。支援的地址類型包括:
來源站點IP:表示來源站點伺服器的IP地址。最多支援配置20個來源站點IP地址,多個IP地址間使用半形逗號(,)分隔。
如果來源站點在阿里雲,一般填寫來源站點ECS的公網IP地址;如果ECS前面部署了SLB,則填寫SLB的公網IP地址。
如果來源站點在阿里雲外的IDC機房或者其他雲端服務商,您可以使用
ping 網域名稱命令,查詢網域名稱解析到的公網IP地址,並填寫擷取的公網IP。
來源站點網域名稱:通常適用於來源站點和高防之間還部署有其他代理服務(例如,Web Application Firewall (WAF))的情境,表示代理服務的跳轉地址。最多支援配置10個來源站點網域名稱,多個網域名稱間通過換行分隔。
例如,您在部署DDoS高防執行個體後還需要部署WAF,以提升應用安全防護能力,您可以選擇來源站點網域名稱,並填寫WAF的CNAME地址。更多資訊,請參見通過聯合部署DDoS高防和WAF提升網站防護能力。
重要如果您設定的來源站點網域名稱為OSS儲存空間(Bucket)的預設外網訪問網域名稱,則對應儲存空間必須已綁定自訂網域名。更多資訊,請參見綁定自訂網域名。
配置多個伺服器位址(來源站點IP、來源站點網域名稱)後,DDoS高防預設以IP Hash的方式轉寄網站訪問流量至來源站點,自動實現負載平衡。儲存網站配置後,您可以通過回源設定,修改來源站點負載演算法。具體操作,請參見修改回源設定。
服務器連接埠
根據協議類型,設定來源站點提供對應服務的連接埠。
HTTP協議、Websocket協議的連接埠預設為80。
HTTPS協議、HTTP2協議、Websockets協議的連接埠預設為443。
您可以單擊自定义,自訂伺服器連接埠,多個連接埠間使用半形逗號(,)分隔,具體限制如下。
自訂連接埠必須在可選連接埠範圍內。
標準功能執行個體:
HTTP協議可選連接埠:80、8080。
HTTPS協議可選連接埠:443、8443。
增強功能執行個體:
HTTP協議可選連接埠範圍:80~65535。
HTTPS協議可選連接埠範圍:80~65535。
所有接入DDoS高防執行個體防護的網站業務下自訂的不同連接埠(包含不同協議下的自訂連接埠)的總數不能超過10個。
例如,您有2個網站(A和B),網站A提供HTTP服務、網站B提供HTTPS服務。如果網站A的接入配置中自訂了HTTP 80、8080連接埠,那麼在網站B的接入配置中,最多可以自訂8個不同的HTTPS連接埠。
Cname Reuse
僅DDoS高防(非中國內地)支援配置該參數。選擇是否開啟CNAME複用。
該功能適用於同一台伺服器上有多個網站業務的情境。開啟CNAME複用後,您只需將同一個伺服器上多個網域名稱的解析指向同一個高防CNAME地址,即可將多個網域名稱接入高防,無需為每個網域名稱分別添加高防網站配置。更多資訊,請參見CNAME複用。
填寫轉寄配置,然後單擊下一步。
配置項
說明
啟用OCSP Stapling
選擇是否啟用OCSP Stapling功能。
重要該功能適用於網站HTTPS業務。如果您已選擇的協議類型包含HTTPS,推薦啟用該功能。
OCSP表示線上憑證狀態通訊協定,該協議用於向簽發認證的CA(Certificate Authority)中心發起查詢請求,檢查認證是否被吊銷。在與伺服器進行TLS握手時,用戶端必須同時擷取認證和對應的OCSP響應。
未啟用(預設):表示由用戶端瀏覽器向CA中心發起OCSP查詢。該方式會導致用戶端在獲得OCSP響應前阻塞後續的事件,在網路情況不佳時,將造成較長時間的頁面空白,降低HTTPS的效能。
啟用:表示由DDoS高防來執行OCSP查詢並緩衝查詢結果(緩衝時間為3600秒)。當有用戶端向伺服器發起TLS握手請求時,DDoS高防將認證的OCSP資訊隨憑證鏈結一起發送給用戶端,從而避免了用戶端查詢會產生的阻塞問題。由於OCSP響應是無法偽造的,因此這一過程不會產生額外的安全問題。
流量標記
擷取客戶端真實源連接埠
開啟該開關後,高防在代理網站流量時,預設使用
X-Forwarded-ClientSrcPort欄位記錄真實的用戶端源連接埠。您可以從高防轉寄到來源站點的請求中解析X-Forwarded-ClientSrcPort欄位,擷取用戶端使用的真實連接埠。具體操作與擷取用戶端真實請求IP類似,更多資訊,請參見配置DDoS高防後擷取真實的請求來源IP。其他自訂Header
添加自訂Header欄位後,高防在代理網站流量時,會在轉寄到來源站點的請求中添加對應的欄位值,方便您後端的服務進行統計分析。
添加自訂Header注意事項:
請不要使用以下預設欄位作為自訂Header:
X-Forwarded-ClientSrcPort:預設被用於擷取訪問高防七層引擎的用戶端連接埠。X-Forwarded-ProxyPort:預設被用於擷取訪問高防七層引擎的監聽連接埠。
請不要使用標準HTTP頭部欄位(例如,user-agent等),否則會導致請求原始頭部欄位的內容被改寫。
最多支援添加5個自訂Header。
回源負載演算法
有多個來源站點伺服器位址(來源站點IP或來源站點網域名稱)時需要配置。您可以修改回源負載平衡演算法或者為不同伺服器設定權重。
其他設定
設定建立連線逾時時間:DDoS高防嘗試建立到來源站點的串連時,超過該時間串連未建立完成,會被認定為失敗。支援設定為1~10秒。
設定讀連線逾時時間:DDoS高防成功建立串連並向來源站點發出讀取資料請求之後,等待來源站點返迴響應資料的最長時間。支援設定為10~300秒。
設定寫連線逾時時間:資料從DDoS高防發送出去之後,並由來源站點開始處理之前,DDoS高防等待的時間長度。超過這段時間,如果DDoS高防還沒有成功地將所有資料發送給來源站點,或者來源站點沒有開始處理資料,會被認定為失敗。支援設定為10~300秒。
回源重試:當DDoS高防請求的資源在快取服務器上沒有命中時,快取服務器將嘗試從上一級快取服務器或來源站點重新擷取該資源。
回源長串連:在快取服務器與來源站點之間,使TCP串連在一段時間內保持活躍,而不是每完成一次請求就關閉。開啟後可以減少建立串連的時間和資源消耗,提高請求處理的效率與速度。
複用長串連的請求個數:在DDoS高防向來源站點建立的一個TCP串連中,支援發送的HTTP請求個數,可以減少因頻繁建立和關閉串連所帶來的延遲和資源消耗。支援設定為10~1000。建議小於等於後端來源站點(如:WAF、SLB)上配置的長串連請求複用個數,以免長串連關閉造成業務無法訪問。
空閑長連線逾時時間:DDoS高防向來源站點建立的一個TCP長串連,在沒有資料轉送之後,在高防的串連池保持開啟狀態的最長時間。這個時間段內如果沒有新的請求,該串連將被關閉,以釋放系統資源。支援設定為10~30秒。建議小於等於後端來源站點(如:WAF、SLB)上配置的逾時時間長度,以免長串連關閉造成業務無法訪問。
步驟二:將網站業務流量切換到DDoS高防
網站的訪問流量需要先經過DDoS高防清洗再轉寄到來源站點伺服器,實現由DDoS高防執行個體協助網站防禦DDoS攻擊流量。
在來源站點伺服器上允許存取DDoS高防回源IP。
如果來源站點伺服器上安裝了防火牆等安全軟體,您需要在來源站點允許存取DDoS高防回源IP,避免由高防轉寄回來源站點的流量被誤攔截。具體操作,請參見允許存取DDoS高防回源IP
在本地驗證轉寄配置是否生效。具體操作,請參見本地驗證轉寄配置生效。
警告如果轉寄配置未生效就執行業務切換,將可能導致業務中斷。
修改DNS解析將業務流量切換到DDoS高防。
添加網站配置後,DDoS高防為網站分配一個CNAME地址,您必須將網站網域名稱的DNS解析指向高防CNAME地址,才可以正式將業務流量切換到高防執行個體進行防護。具體操作,請參見使用CNAME或IP將網站網域名稱解析到DDoS高防。
步驟三:設定網站業務防護策略
DDoS高防預設為接入防護的網站開啟了DDoS全局防护策略、AI智能防護和頻率控制防護功能,您可以在網站業務DDoS防護頁簽,為網站開啟更多的防護功能或修改防護功能的規則。
在左側導覽列,選擇。
在網域名稱接入頁面,定位到目標網域名稱,單擊操作列的防護設定。
在網站業務DDoS防護頁簽下,根據需要為目標網域名稱設定DDoS防護策略。
配置項
說明
AI智能防護
預設開啟,由智能巨量資料分析引擎自學習業務流量基準,發現並阻斷新型CC攻擊,在流量異常時,基於歷史流量分布,動態調整各執行模組策略阻斷異常請求。支援手動修改防護模式和等級。更多資訊,請參見設定AI智能防護。
DDoS全局防护策略
預設開啟,DDoS防護引擎根據流量清洗力度,為接入高防防護的網站業務提供三套內建的全域防護策略,協助業務在攻擊發生的瞬間快速應對脈衝式攻擊,提高響應及時性。更多資訊,請參見設定DDoS全域防護策略。
黑/白名單
開啟針對網域名稱的訪問源IP黑白名單後,黑名單IP/IP段對網域名稱的訪問請求將會被直接阻斷,白名單IP/IP段對網域名稱的訪問請求將被直接允許存取,且不經過任何防護策略過濾。更多資訊,請參見設定黑白名單(針對網域名稱)。
地區封鎖
一鍵阻斷來自指定地區來源IP的所有網站訪問請求。更多資訊,請參見設定地區封鎖(針對網域名稱)。
精準存取控制
使用常見的HTTP欄位(例如IP、URL、Referer、UA、參數等)設定匹配條件,用來篩選訪問請求,並對命中條件的請求設定允許存取、封鎖、挑戰操作。更多資訊,請參見設定CC安全防護。
頻率控制
預設開啟,限制單一源IP對網站的訪問頻率。頻率控制開啟後自動生效,且預設使用正常防護模式,協助網站防禦一般的CC攻擊。支援手動調整防護模式和自訂訪問頻率控制規則。更多資訊,請參見設定頻率控制。
步驟四:查看網站業務防護資料
網站業務接入DDoS高防後,您可以在DDoS高防控制台使用安全報表和日誌功能查看業務防護資料。
在安全總覽頁面,查看執行個體和網域名稱的業務資料以及遭受的DDoS攻擊詳情。更多資訊,請參見安全總覽。
在動作記錄頁面,查看重要操作記錄。更多資訊,請參見動作記錄。
在全量日誌分析頁面,查看網站業務的日誌。更多資訊,請參見快速使用全量日誌分析。
說明DDoS高防全量日誌分析是增值服務,需要單獨開通並啟用。開通全量日誌分析後,阿里雲Log Service將對接DDoS高防的網站訪問日誌和CC攻擊日誌,並對採集到的日誌資料進行即時檢索與分析,以儀錶盤形式向您展示查詢結果。更多資訊,請參見什麼是Log Service。