全部产品
Search
文档中心

DDoS 防护:配置端口转发规则

更新时间:Nov 27, 2024

非网站业务(例如客户端应用程序)接入DDoS高防时,需要配置端口转发规则,使业务流量先经过DDoS高防清洗,再转发到源站服务器。本文介绍如何为非网站业务配置端口转发规则。

注意事项

  • 仅DDoS高防(中国内地)支持批量配置规则,DDoS高防(非中国内地)不支持。

  • 仅DDoS高防(中国内地)支持开启应用层防护增强端口开关,开启后可以防护针对非HTTP/HTTPS协议的应用层攻击。

  • 阿里云账号下所有DDoS高防实例释放一个月后,DDoS高防会自动清空该账号下所有高防的域名及端口转发配置。如果您有多个DDoS高防实例,以最后一个实例释放时间开始计算。

  • 购买增强功能套餐的DDoS高防实例时,在您设置完UDP端口转发规则后,DDoS高防会默认屏蔽一些常见的用于UDP反射攻击的端口。通常情况下屏蔽这些端口不会影响正常业务,但如果您的业务涉及其中某个端口,请手动解除屏蔽。详细信息,请参见设置UDP反射攻击防护

    说明

    如果您曾经自定义设置过UDP反射攻击防护端口,仍以您自定义的端口为准。

前提条件

已购买DDoS高防(中国内地)实例或DDoS高防(非中国内地)实例。具体操作,请参见购买DDoS高防实例

新增端口转发规则

新增单个端口转发规则

  1. 登录DDoS高防控制台

  2. 在顶部菜单栏左上角处,选择地域。

    • DDoS高防(中国内地):选择中国内地地域。

    • DDoS高防(非中国内地):选择非中国内地地域。

  3. 在左侧导航栏,选择接入管理 > 端口接入

  4. 选择DDoS高防实例后,单击添加规则,完成规则配置后单击确定

    说明

    转发协议后有叹号图标的规则表示配置网站业务时自动生成的规则,用来转发网站业务的流量。不支持手动编辑和删除,当使用该转发规则的所有网站配置取消与当前DDoS高防实例的关联后,规则将会被自动删除。关于如何配置网站业务,请参见添加网站配置

    • 如果网站信息中的服务器端口为80,则自动生成一条转发协议为TCP、转发端口为80的规则。

    • 如果网站信息中的服务器端口为443,则自动生成一条转发协议为TCP、转发端口为443的规则。

    配置项

    说明

    应用层防护增强端口

    仅TCP协议的业务支持开启,防护针对非HTTP/HTTPS的应用层协议攻击。

    攻击类型介绍,请参见适合防御的DDoS攻击类型

    转发协议

    转发协议类型,可选值:TCP、UDP。

    转发端口

    DDoS高防实例使用的转发端口。

    说明
    • 为了便于管理,建议您将转发端口源站端口保持一致。

    • 为了防止私自搭建DNS防护服务器,DDoS高防不支持53端口接入配置。

    • 同一DDoS高防实例和转发协议下,每条规则的转发端口必须唯一。当您尝试添加同协议+同转发端口的规则时,系统将提示规则冲突。

    • 请避免与通过网站配置自动生成的规则冲突。

    源站端口

    源站使用的业务端口。

    回源转发模式

    默认为轮询模式,不支持修改。

    源站IP

    源站的IP地址。

    说明

    支持添加多个源站IP以实现自动负载均衡。多个IP间以半角逗号(,)分隔。最多可配置20个源站IP。

批量新增端口转发规则

批量添加端口转发规则时,不支持开启应用层防护增强端口,如需开启,请先批量新增端口转发规则后,再批量修改应用层防护增强端口开关。

  1. 端口接入页面下方,单击批量操作 > 添加规则

  2. 添加规则对话框,按照格式要求填入要添加的规则配置,并单击确定

    每行对应一条规则,每条规则包含四个字段,从左到右依次是协议、转发端口、源站端口、源站IP,字段间以空格分隔。

  3. 添加规则对话框,选中要上传的规则,并单击上传

后续操作

添加规则后,您还需要放行DDoS高防回源IP、验证本地转发配置生效、将非网站业务的业务流量切换到DDoS高防实例,才能完成非网站业务的接入。

  1. 在源站服务器上设置放行DDoS高防的回源IP,避免DDoS高防转发回源站的流量被源站服务器上的安全软件拦截。具体操作,请参见放行DDoS高防回源IP

  2. 通过本地计算机验证规则配置已经生效,避免规则配置不正确导致业务异常。具体操作,请参见本地验证转发配置生效

    警告

    如果规则未生效就执行业务切换,将可能导致业务中断。

  3. 将非网站业务的业务流量切换到DDoS高防实例。

    通常您只需将业务IP替换为DDoS高防实例的独享IP,即可正式将业务流量切换至DDoS高防实例,具体操作请以业务开发平台实际情况为准。

    说明
    • 如果您的业务同时使用域名来指定服务器地址(例如,游戏客户端中设置example.com域名作为服务器地址,或该域名已经写在客户端程序中),您无需配置域名接入,但需要在域名的DNS解析服务提供商处修改DNS解析,将该域名的A记录指向DDoS高防实例的独享IP。具体操作,请参见修改DNS解析

    • 在某些场景下,您可能需要用域名来接入四层业务,并实现业务关联多高防IP且多高防IP间自动切换流量。这种情况下,推荐您通过添加域名并修改CNAME解析来接入非网站业务。具体操作,请参见CNAME解析接入非网站业务

更多操作

修改源站IP

下图中①为修改单条规则中的源站IP入口,②为批量修改源站IP的入口。image

修改应用层防护增强端口开关

下图中①为修改单条规则中的开关入口,②为批量修改开关的入口。请勿单击应用层防护增强下的配置,该按钮为防护策略的入口。

image

删除端口转发规则

警告

对于手动添加的规则,如果您不再需要DDoS高防IP对业务进行转发,您必须先恢复实际业务IP,即确保实际业务没有使用高防IP,然后删除对应的规则。如果您未恢复实际业务IP就删除规则,那么可能导致业务中断。

下图中①为删除单条规则的入口,②为批量删除规则的入口。

image