網站網域名稱防禦DDoS攻擊 - Anti-DDoS

將網站網域名稱配置到DDoS高防後，DDoS高防會為網站產生一個CNAME地址，您需要將網站網域名稱的DNS解析指向高防CNAME地址，DDoS高防才能轉寄業務流量為網站防禦DDoS攻擊。本文介紹如何添加網站配置。

注意事項

接入DDoS高防（中國內地）的網站必須經過ICP備案，接入DDoS高防（非中國內地）的網站沒有ICP備案的限制。
說明
- DDoS高防（中國內地）會定期查詢已接入防護的網站網域名稱的備案狀態，備案失效時DDoS高防（中國內地）會停止相關業務的流量轉寄，並在網域名稱接入頁面提示“網域名稱未履行ICP備案，請您及時更新備案狀態”。出現提示時，如果您需要恢複業務流量轉寄，必須及時更新網域名的備案狀態。
- 如果您的高防回來源站點點為阿里雲產品時，需要同時滿足高防及回源產品的備案要求，否則將影響回源流量轉寄，具體請查看各雲產品的官網文檔或諮詢技術支援人員。例如來源站點伺服器是ECS時，您需要為ECS開通ICP備案，具體請參見備案伺服器檢查和ICP備案流程。
您同個阿里雲帳號下所有DDoS高防執行個體釋放一個月後，高防會自動清空該帳號下所有高防的網域名稱及連接埠轉寄配置。如果您有多個高防執行個體，以最後一個執行個體釋放時間開始計算。

適用範圍

已購買DDoS高防（中國內地）執行個體或DDoS高防（非中國內地）執行個體。具體操作，請參見購買DDoS高防執行個體。
如果網站業務要接入DDoS高防（中國內地）執行個體，網站網域名稱必須已經完成ICP備案。更多資訊，請參見ICP備案流程。

添加網站配置

登入DDoS高防控制台的網域名稱接入頁面。
在頂部功能表列左上方處，根據DDoS高防產品選擇地區。
- DDoS高防（中國內地）：選擇中國內地地區。
- DDoS高防（非中國內地）：選擇非中國內地地區。

在網域名稱接入頁面，單擊添加網站。

說明

您也可以在頁面最下方單擊大量匯入，大量匯入網站配置。網站配置採用XML檔案格式傳入，關於檔案格式的詳細介紹，請參見其他動作。

填寫網站接入資訊，然後單擊下一步。

配置項	說明
功能套餐	選擇要關聯的DDoS高防執行個體的功能套餐。可選項：標準功能、增強功能。說明將游標放置在功能套餐後的表徵圖上，查看標準功能和增強功能套餐的功能差異。更多資訊，請參見標準功能和增強功能的差異。
執行個體	選擇要關聯的DDoS高防執行個體。一個網站網域名稱最多可以關聯8個DDoS高防執行個體，且只能關聯同一種功能套餐下的執行個體。
網站	填寫要防護的網站網域名稱。具體要求如下：網域名稱可以由英文字母（a~z、A~Z，不區分大小寫）、數字（0~9）以及短劃線（-）組成。網域名稱的首位必須是字母或數字。支援填寫泛網域名稱，例如，`.aliyundoc.com`。使用泛網域名稱時，DDoS高防自動匹配該泛網域名稱對應的子網域名稱。說明如果同時存在泛網域名稱和精確網域名稱配置（例如，`.aliyundoc.com`和`www.aliyundoc.com`），DDoS高防優先使用精確網域名稱（即`www.aliyundoc.com`）所配置的轉寄規則和防護策略。如果您填寫的是頂層網域，DDoS高防僅防護您的頂層網域，不支援對次層網域等子網域名稱進行防護。如果您要防護次層網域，請輸入次層網域或者泛網域名稱。僅支援配置為網域名稱，不支援填寫網站IP。
協議類型	選擇網站支援的協議類型。可選項： HTTP：預設選中。 HTTPS：網站支援HTTPS加密認證時，請勾選該協議並完成以下配置。上傳國際標準HTTP認證上傳認證後才能使DDoS高防協助您清洗HTTPS業務流量。手動上傳：填寫認證名稱，並將認證檔案和私密金鑰檔案中的常值內容分別複製粘貼到認證檔案和私密金鑰檔案框中。說明對於PEM、CER、CRT格式的認證，您可以使用文字編輯器直接開啟認證檔案，複製其中的常值內容。對於其他格式（例如，PFX、P7B等）的認證，您需要將認證檔案轉換成PEM格式後，才能用文字編輯器開啟並複製其中的常值內容。關於認證格式的轉換方式，請參見認證格式轉換或HTTPS認證轉換成PEM格式。如果該HTTPS認證有多個認證檔案（例如，憑證鏈結），您需要將憑證鏈結中的常值內容拼接合并後粘貼至認證檔案中。選擇已有認證：通過阿里雲Certificate Management Service (Original SSL Certificate)申請的認證，或者您已將認證上傳到數位憑證管理服務，可以直接選擇認證。自訂TLS安全性原則詳細介紹，請參見自訂伺服器HTTPS認證的TLS安全性原則。 HTTPS認證TLS版本：選擇國際標準HTTPS認證支援的TLS協議版本。可選項：支援TLS1.0及以上版本，相容性最好，安全性較低：支援TLS 1.0、TLS 1.1和TLS 1.2。支援TLS1.1及以上版本，相容性較好，安全性較好：支援TLS 1.1和TLS 1.2。支援TLS1.2及以上版本，相容性較好，安全性很高：支援TLS 1.2。您也可以根據需要選擇開啟支援TLS1.3。 HTTPS認證加密套件：選擇國際標準HTTPS認證支援的加密套件，或自訂加密套件。您可以將游標放置在某個加密套件選項上的表徵圖，查看該選項包含的加密套件。啟用雙向認證如果您需要在用戶端到高防間進行TLS雙向認證，請將簽發用戶端認證的根CA認證或中間CA認證上傳至DDoS高防。支援阿里雲簽發的CA認證以及非阿里雲簽發的CA認證。阿里雲簽發：在選擇預設CA認證下拉框中選擇通過阿里雲Certificate Management Service (Original SSL Certificate)簽發的CA認證。非阿里雲簽發：請先將自簽名CA認證上傳至Certificate Management Service (Original SSL Certificate)。具體操作，請參見上傳認證倉庫（上傳認證）。在選擇預設CA認證下拉框中選擇上傳的自簽CA認證。啟用OCSP Stapling 是否啟用OCSP Stapling功能，推薦啟用該功能。 OCSP表示線上憑證狀態通訊協定，該協議用於向簽發服務端認證的CA（Certificate Authority）中心發起查詢請求，檢查認證是否被吊銷。在與伺服器進行TLS握手時，用戶端必須同時擷取認證和對應的OCSP響應。未啟用（預設）：表示由用戶端瀏覽器向CA中心發起OCSP查詢。該方式會導致用戶端在獲得OCSP響應前阻塞後續的事件，在網路情況不佳時，將造成較長時間的頁面空白，降低HTTPS的效能。啟用：表示由DDoS高防來執行OCSP查詢並緩衝查詢結果（緩衝時間為3600秒）。當有用戶端向伺服器發起TLS握手請求時，DDoS高防將服務端認證的OCSP資訊隨憑證鏈結一起發送給用戶端，從而避免了用戶端查詢會產生的阻塞問題。由於OCSP響應是無法偽造的，因此這一過程不會產生額外的安全問題。國密HTTPS 僅DDoS高防（中國內地）執行個體支援上傳國密標準HTTPS認證，認證演算法僅支援SM2。說明經過驗證DDoS高防（中國內地）支援處理360瀏覽器和紅蓮花瀏覽器發來的國密請求。仅支持国密客户端访问：預設關閉。開啟：僅處理安裝國密標準認證的用戶端發來的請求。說明開啟後國際標準HTTPS認證對應的TLS套件、雙向認證及OCSP Stapling功能配置將不會生效。關閉：處理安裝國密標準認證的用戶端，以及安裝國際標準認證的用戶端發來的請求。国密HTTPS证书：您需要先將認證上傳到數位憑證管理服務，才能在此處選擇。国密HTTPS加密套件：預設啟用如下加密套件，不支援修改。 ECC-SM2-SM4-CBC-SM3 ECC-SM2-SM4-GCM-SM3 ECDHE-SM2-SM4-CBC-SM3 ECDHE-SM2-SM4-GCM-SM3 Websocket：選中該協議將自動同時選中HTTP協議，不支援單獨選中Websocket協議。 Websockets：選中該協議將自動同時選中HTTPS協議，不支援單獨選中Websockets協議。選中HTTPS協議後，可以根據需要開啟以下進階設定。開啟HTTPS的強制跳轉：適用於網站同時支援HTTP和HTTPS協議。開啟該設定後，所有HTTP請求將被強制轉換為HTTPS請求，且預設跳轉到443連接埠。重要只有同時選中HTTP和HTTPS協議，並且沒有選中Websocket協議時，才可以開啟該設定。 HTTP非標準連接埠（80以外的連接埠）訪問的情境下，如果開啟了HTTPS強制跳轉，則訪問預設跳轉到HTTPS 443連接埠。開啟HTTP回源：如果網站不支援HTTPS回源，請務必開啟該設定。開啟該設定後，所有HTTPS協議請求將通過HTTP協議回源、所有Websockets協議請求將通過Websocket協議回源，且預設回源連接埠為80。重要 HTTPS非標準連接埠（443以外的連接埠）訪問的情境下，如果開啟了HTTP回源，則訪問預設跳轉到來源站點HTTP 80連接埠。啟用HTTP2：開關開啟表示允許HTTP 2.0協議用戶端接入高防，但此時DDoS高防仍使用HTTP 1.1回源到來源站點。 HTTP 2.0功能規格說明串連關閉後的不活動逾時時間（http2_idle_timeout）：120s 單串連最大請求數（http2_max_requests）：1000 單串連最大並發流（http2_max_concurrent_streams）：4 HPACK 解壓縮後整個要求標頭列表的最大值（http2_max_header_size）：256K HPACK 壓縮的要求標頭欄位的最大值（http2_max_field_size）：64K
伺服器位址	選擇來源站點伺服器的地址類型，並填寫來源站點伺服器的地址。說明來源站點可以是阿里雲產品，也可以是非阿里雲產品。但當來源站點是阿里雲產品時，請確保該來源站點歸屬於當前的阿里雲帳號，如果來源站點屬於其他阿里雲帳號，請在添加前聯絡商務經理。來源站點IP：表示來源站點伺服器的IP地址。最多支援配置20個來源站點IP地址，多個IP地址間使用半形逗號（,）分隔。如果來源站點在阿里雲，一般填寫來源站點ECS的公網IP地址。如果ECS前面部署了SLB，則填寫SLB的公網IP地址。如果來源站點在阿里雲外的IDC機房或者其他雲端服務商，您可以使用`ping 網域名稱`命令，查詢網域名稱解析到的公網IP地址，並填寫擷取的公網IP。來源站點網域名稱：通常適用於來源站點和高防之間還部署有其他代理服務（例如，Web Application Firewall (WAF)）的情境，表示代理服務的跳轉地址。最多支援配置10個來源站點網域名稱，多個網域名稱間通過換行分隔。例如，您在部署DDoS高防執行個體後還需要部署WAF，以提升應用安全防護能力，您可以選擇來源站點網域名稱，並填寫WAF的CNAME地址。更多資訊，請參見通過聯合部署DDoS高防和WAF提升網站防護能力。重要如果您設定的來源站點網域名稱為OSS儲存空間（Bucket）的預設外網訪問網域名稱，則對應儲存空間必須已綁定自訂網域名。更多資訊，請參見綁定自訂網域名。
服務器連接埠	根據協議類型，設定來源站點提供對應服務的連接埠。 HTTP協議、Websocket協議的連接埠預設為80。 HTTPS協議、HTTP2協議、Websockets協議的連接埠預設為443。自訂伺服器連接埠，多個連接埠間使用半形逗號（,）分隔，具體限制如下。自訂連接埠必須在可選連接埠範圍內。 HTTP協議可選連接埠範圍：80~65535。 HTTPS協議可選連接埠範圍：80~65535。所有接入DDoS高防執行個體防護的網站業務下自訂的不同連接埠（包含不同協議下的自訂連接埠）的總數不能超過10個。例如，您有2個網站（A和B），網站A提供HTTP服務、網站B提供HTTPS服務。如果網站A的接入配置中自訂了HTTP 80、8080連接埠，那麼在網站B的接入配置中，最多可以自訂8個不同的HTTPS連接埠。
Cname Reuse	僅DDoS高防（非中國內地）支援配置該參數。選擇是否開啟CNAME複用。該功能適用於同一台伺服器上有多個網站業務的情境。開啟CNAME複用後，您只需將同一個伺服器上多個網域名稱的解析指向同一個高防CNAME地址，即可將多個網域名稱接入高防，無需為每個網域名稱分別添加高防網站配置。更多資訊，請參見CNAME複用。

填寫轉寄配置，然後單擊下一步。

配置項		說明
回源負載演算法		有多個來源站點伺服器位址（來源站點IP或來源站點網域名稱）時需要配置。您可以修改回源負載平衡演算法或者為不同伺服器設定權重。輪詢（預設）：所有請求輪流分配給所有伺服器位址，預設所有伺服器位址具有相同權重。支援修改伺服器權重，伺服器權重越大，被分配到請求的可能性越高。適用於多來源站點且對來源站點負載均勻要求較高的情境。 IP hash：支援設定IP hash的同時為伺服器設定權重。使用IP hash保證同一用戶端的請求在一段時間內被分配到同一台伺服器處理，確保會話的一致性。結合權重模式，根據伺服器的處理能力進行權重分配，確保更高效能的伺服器處理更多的請求，最佳化資源利用效率。適用於需要保持使用者會話一致性的情境，極端情況下可能存在負載不均衡。 Least time：通過智能DNS解析能力和Least time回源演算法，保證業務流量將從接入防護節點到轉寄回來源站點伺服器整個鏈路的時延最短。回源重試：當DDoS高防請求的資源在快取服務器上沒有命中時，快取服務器將嘗試從上一級快取服務器或來源站點重新擷取該資源。說明每個來源站點單獨設定最大回源重試次數的能力，預設值3。
流量標記		用戶端真實源連接埠 HTTP Header中用戶端真實源連接埠所在的頭部欄位名。一般情況下使用`X-Forwarded-ClientSrcPort`欄位記錄真實的用戶端源連接埠，如果您的業務使用自訂的欄位記錄真實的用戶端源連接埠，請將Header欄位名稱設定為您自訂的欄位。您可以從高防轉寄到來源站點的請求中解析設定的欄位，擷取用戶端使用的真實連接埠。具體操作與擷取用戶端真實請求IP類似，更多資訊，請參見配置DDoS高防後擷取真實的請求來源IP。用戶端真實源IP HTTP Header中用戶端真實源IP所在的頭部欄位名。一般情況下使用`X-Forwarded-For`欄位記錄真實的用戶端源IP，如果您的業務使用自訂的欄位記錄真實的用戶端源IP，請將Header欄位名稱設定為您自訂的欄位。您可以從高防轉寄到來源站點的請求中解析設定的欄位，擷取用戶端使用的真實IP。自訂Header 在請求中增加自訂HTTP Header（包含欄位名稱和欄位值）來標記經過DDoS的請求。高防在代理網站流量時，會在轉寄到來源站點的請求中添加對應的欄位值，方便您後端的服務進行統計分析。請不要使用以下預設欄位作為自訂Header： `X-Forwarded-ClientSrcPort`：預設被用於擷取訪問高防七層引擎的用戶端連接埠。 `X-Forwarded-ProxyPort`：預設被用於擷取訪問高防七層引擎的監聽連接埠。 `X-Forwarded-For`：預設被用於擷取訪問高防七層引擎的用戶端IP。請不要使用標準HTTP頭部欄位（例如，host、user-agent、connection、upgrade等）或一些被廣泛使用的自訂HTTP頭部欄位（x-real-ip、x-true-ip、x-client-ip、web-server-type、wl-proxy-client-ip、eagleeye-rpcid、eagleeye-traceid、x-forwarded-cluster、x-forwarded-proto等），否則會導致請求原始頭部欄位的內容被改寫。除用戶端真實源連接埠和用戶端真實源IP外，您最多支援添加5個自訂Header標籤。
cookie設定		下髮狀態預設開啟。開啟狀態時DDoS高防將會在用戶端（如瀏覽器）植入Cookie用於區分統計不同用戶端或者擷取用戶端的指紋資訊等。詳細介紹，請參見設定CC安全防護。重要如需停止DDoS高防向業務植入Cookie的行為，您可以將開關關閉，但同時DDoS高防也將無法通過CC安全防護原則模組對CC攻擊進行主動判斷和防護。 Secure屬性預設關閉。如果開啟，Cookie只會在HTTPS串連中被發送，而不會在HTTP串連中發送，有助於保護Cookie不被攻擊竊取。當網站業務僅支援HTTPS連結時建議開啟。
其他設定	高防-來源站點	設定新建連線逾時時間：DDoS高防嘗試建立到來源站點的串連時，超過該時間串連未建立完成，會被認定為失敗。支援設定為1~10秒。設定讀連線逾時時間：DDoS高防成功建立串連並向來源站點發出讀取資料請求之後，等待來源站點返迴響應資料的最長時間。支援設定為10~900秒。設定寫連線逾時時間：資料從DDoS高防發送出去之後，並由來源站點開始處理之前，DDoS高防等待的時間長度。超過這段時間，如果DDoS高防還沒有成功地將所有資料發送給來源站點，或者來源站點沒有開始處理資料，會被認定為失敗。支援設定為10~900秒。回源長串連：在快取服務器與來源站點之間，使TCP串連在一段時間內保持活躍，而不是每完成一次請求就關閉。開啟後可以減少建立串連的時間和資源消耗，提高請求處理的效率與速度。複用長連接的請求個數：在DDoS高防向來源站點建立的一個TCP串連中，支援發送的HTTP請求個數，可以減少因頻繁建立和關閉串連所帶來的延遲和資源消耗。支援設定為10~1000。建議小於等於後端來源站點（如：WAF、SLB）上配置的長串連請求複用個數，以免長串連關閉造成業務無法訪問。空閑長連線逾時時間：DDoS高防向來源站點建立的一個TCP長串連，在沒有資料轉送之後，在高防的串連池保持開啟狀態的最長時間。這個時間段內如果沒有新的請求，該串連將被關閉，以釋放系統資源。支援設定為10~30秒。建議小於等於後端來源站點（如：WAF、SLB）上配置的逾時時間長度，以免長串連關閉造成業務無法訪問。
	用戶端-高防	設定前向長連線逾時時間：用戶端與DDoS高防之間建立的 TCP 長串連，設定該串連的空閑逾時時間（兩次用戶端請求之間的最大等待時間）。若在設定時間內無新請求，DDoS高防將主動關閉串連以釋放資源。設定HTTP2.0 Stream數上限：僅當啟用HTTP2時支援設定，表示用戶端與DDoS高防間允許的最大並發流數量。支援設定為16~32，如果您有更高的配置訴求，請聯絡商務經理。

後續配置

（可選）更換來源站點ECS伺服器的公網IP地址。
如果您的來源站點是阿里雲ECS伺服器，且來源站點IP地址不慎暴露，您需要更換ECS雲端服務器的公網IP，防止駭客繞過DDoS高防直接攻擊來源站點。具體操作，請參見固定公網IP。
在來源站點伺服器上允許存取DDoS高防回源IP。
如果來源站點伺服器上安裝了防火牆等安全軟體，您需要在來源站點允許存取DDoS高防回源IP，避免由高防轉寄回來源站點的流量被誤攔截。具體操作，請參見允許存取DDoS高防回源IP。
在本地驗證轉寄配置是否生效。具體操作，請參見本地驗證轉寄配置生效。
警告
如果轉寄配置未生效就執行業務切換，將可能導致業務中斷。
修改DNS解析將業務流量切換到DDoS高防。
添加網站配置後，DDoS高防為網站分配一個CNAME地址，您必須將網站網域名稱的DNS解析指向高防CNAME地址，才可以正式將業務流量切換到高防執行個體進行防護。具體操作，請參見使用CNAME或IP將網站網域名稱解析到DDoS高防。
（可選）配置網站業務DDoS防護策略。
DDoS高防預設為接入防護的網站開啟了DDoS全局防护策略、AI智能防護，您還可以在網站業務DDoS防護頁簽，開啟更多防護功能。具體操作，請參見網站業務DDoS防護。
重要
設定CC安全防護後，可能會被植入Cookie。詳細內容，請參見Cookie植入說明。
（可選）配置CloudMonitor警示。
針對DDoS高防的常用業務指標（例如，高防IP流量、串連數等）、攻擊事件（例如，黑洞、清洗事件）設定警示規則，使CloudMonitor在高防上業務發生異常時，及時向您發送警示，協助您縮短回應時間，儘快恢複業務。具體操作，請參見CloudMonitor警示。
（可選）配置全量Log Service。
DDoS高防採集並儲存網站業務的全量日誌資料，供您進行業務查詢與分析。DDoS高防全量Log Service預設儲存180天內的網站全量日誌，協助您滿足等保合規要求。具體操作，請參見快速使用全量日誌分析。

Anti-DDoS：添加網站配置