防护非网站业务 - DDoS 防护

背景信息

与网站业务不同，非网站业务配置后只进行四层转发。因此为非网站业务配置DDoS高防后，DDoS高防只支持四层防护（例如，防护SYN Flood、UDP Flood等），不会去解析七层报文的内容，也不提供基于七层报文的防护（例如，CC攻击、Web攻击防护等）。接入非网站业务时，您只需配置DDoS高防实例的端口转发规则，然后使用DDoS高防的独享IP作为业务IP即可。

操作流程

前提条件

已购买DDoS高防（新BGP）或DDoS高防（国际）实例。具体操作，请参见购买DDoS高防实例。

步骤一：添加端口转发规则

业务接入DDoS高防前，您需要先添加端口转发规则，业务流量会根据您配置的规则进行转发。

登录DDoS高防控制台。
在顶部菜单栏左上角处，选择服务所在地域：
- DDoS高防（新BGP）：选择中国内地地域。
- DDoS高防（国际）：选择非中国内地地域。
您可以通过切换地域分别管理和配置DDoS高防（新BGP）和DDoS高防（国际）实例。在使用DDoS高防服务时，请确认您已选择正确的地域。
在左侧导航栏，选择接入管理 > 端口接入。

在端口接入页面，选择目标DDoS高防实例，为实例添加规则后，单击确定。

您可以添加单条规则，也可以批量添加规则。成功添加规则后，你可以批量导出规则，具体操作请参见批量导出。

添加单条规则

单击添加规则，根据您的实际业务情况完成规则配置，并单击完成。


配置项	说明
转发协议	转发协议类型，可选值：TCP、UDP。
转发端口	DDoS高防实例使用的转发端口。说明为了便于管理，建议您将转发端口与源站端口保持一致。为了防止私自搭建DNS防护服务器，DDoS高防不支持53端口接入配置。同一DDoS高防实例和转发协议下，每条规则的转发端口必须唯一。当您尝试添加同协议+同转发端口的规则时，系统将提示规则冲突。同时也请避免与通过网站配置自动生成的规则冲突。
源站端口	源站使用的业务端口。
源站IP	源站的IP地址。说明支持添加多个源站IP以实现自动负载均衡。多个IP间以半角逗号（,）分隔。最多可配置20个源站IP。

批量添加规则
1. 在端口接入页面，选择目标DDoS高防实例，并在规则列表下方选择批量操作 > 添加规则。
2. 在添加规则对话框，按照格式要求填入要添加的规则配置，并单击确定。
  每行对应一条规则，每条规则包含四个字段，从左到右依次是协议、转发端口、源站端口、源站IP，字段间以空格分隔。
3. 在添加规则对话框，选中要上传的规则，并单击上传。

说明转发协议后有

图标的规则表示配置网站业务时自动生成的规则，用来转发网站业务的流量。自动生成的规则不支持手动编辑和删除，当使用该转发规则的所有网站配置取消与当前DDoS高防实例的关联后，自动生成的规则将会被自动删除。关于如何配置网站业务，请参见添加网站。

如果网站信息中的服务器端口为80，则自动生成一条转发协议为TCP、转发端口为80的规则。
如果网站信息中的服务器端口为443，则自动生成一条转发协议为TCP、转发端口为443的规则。

步骤二：将业务接入DDoS高防

端口转发规则创建完成后，您还需要将要防护的实际业务IP替换为DDoS高防的独享IP，才能正式将业务流量切换到DDoS高防。完成切换后，业务流量会先经过DDoS高防清洗，再转发到源站服务器。

在源站服务器上设置放行DDoS高防的回源IP，避免DDoS高防转发回源站的流量被源站服务器上的安全软件拦截。
1. 在左侧导航栏，选择接入管理 > 域名接入，单击域名接入页面右上角的查看回源IP网段。
2. 在回源IP网段对话框，查看并复制DDoS高防的回源IP网段。
3. 打开源站服务器上的安全软件，将复制的回源IP网段添加到白名单。
通过本地计算机验证规则配置已经生效，避免规则配置不正确导致业务异常。

警告如果规则未生效就执行业务切换，将可能导致业务中断。

假设高防的独享IP是99.99.XX.XX，配置了端口1234的转发，源站IP是11.11.XX.XX，对应服务端口也是1234。您可以直接在本地通过telnet命令访问99.99.XX.XX的1234端口，telnet命令能连通则说明转发成功。如果本地客户端支持直接填写服务器IP，您也可以直接填入高防IP进行测试。
将非网站业务的业务流量切换到DDoS高防实例。
- 如果您的业务直接通过IP进行访问，您只需将业务IP替换为DDoS高防实例的独享IP，即可正式将业务流量切换至DDoS高防实例。
  
  说明此处仅介绍主要流程，具体操作请以业务开发平台实际情况为准。
- 如果您的业务中同时使用域名来指定服务器地址（例如，游戏客户端中设置example.com域名作为服务器地址，或该域名已经写在客户端程序中），则您需要在域名的DNS解析服务提供商处修改DNS解析，将该域名的A记录指向DDoS高防实例的独享IP。
  以在云解析DNS控制台修改、新增域名解析为例：
  1. 登录阿里云云解析DNS控制台。
  2. 在域名解析页面，定位到要操作的域名，单击操作列下的解析设置。
  3. 在解析设置页面，定位到要修改的解析记录，单击操作列下的修改。
    
    说明如果要操作的解析记录不在记录列表中，您可以单击添加记录。
  4. 在修改记录（或添加记录）页面，选择记录类型为A，并将记录值修改为高防的独享IP。
    
    说明您可以在DDoS高防控制台的资产管理 > 实例管理页面查询高防的独享IP。
- 单击确认，等待修改后的解析设置生效。

步骤三：设置端口转发和防护策略

完成业务流量切换后，DDoS高防使用默认策略帮助您清洗和转发流量。您可以根据业务需要，自定义DDoS防护策略和开启会话保持、健康检查，优化DDoS高防的转发功能。

在端口接入页面，选择目标DDoS高防实例，并定位到要操作的转发规则，根据需要设置会话保持、健康检查、非网站业务DDoS防护策略。


配置项	说明
会话保持	如果您的非网站业务接入DDoS高防后存在登录超时需要重新登录、上传数据断开等问题，您可以开启会话保持功能。会话保持可以在指定的时间范围内将同一客户端的请求转发至同一台后端服务器上。单击会话保持列的配置。在会话保持对话框，根据需要开启或关闭会话保持。开启会话保持：设置超时时间，并单击设置超时时间并开启。关闭会话保持：单击关闭会话保持。
健康检查	适用于业务有多个源站IP时，判断源站服务器的业务可用性，在转发客户端请求时避开异常服务器。单击健康检查列下的配置。在健康检查对话框，打开开启健康检查并完成配置。具体操作，请参见健康检查配置项说明。单击完成。开启健康检查后，如果您想关闭健康检查，只需单击配置，并在健康检查对话框关闭开启健康检查。
DDoS防护策略	开启DDoS防护策略，可以对接入DDoS高防的非网站业务的连接速度、包长度等参数进行限制，缓解小流量的连接型攻击。单击DDoS防护策略列下的配置。在非网站业务DDoS防护页签，根据需要为当前转发规则设置DDoS防护策略，包括虚假源、目的限速、包长度过滤、源限速。虚假源：针对虚假IP发起的DDoS攻击进行校验过滤。目的限速：以当前高防IP、端口为统计对象，当每秒访问频率超出阈值时，对当前高防IP的端口进行限速，其余端口不受限速影响。包长度过滤：设置允许通过的包最小和最大长度，小于最小长度或者大于最大长度的包会被丢弃。源限速：以当前高防IP、端口为统计对象，对访问频率超出阈值的源IP地址进行限速。访问速率未超出阈值的源IP地址，访问不受影响。源限速支持黑名单控制，对于60秒内5次超限的源IP，您可以启用将源IP加入黑名单的策略，并设置黑名单的有效时长。更多信息，请参见设置DDoS防护策略。

步骤四：查看端口防护数据

非网站业务接入DDoS高防后，您可以在DDoS高防的安全总览页面查看端口流量转发数据。

在左侧导航栏，单击安全总览。

单击实例页签，设置要查询的实例和时间范围，查看指定实例对应业务的相关信息。


信息项	说明
带宽	DDoS高防（新BGP）服务提供带宽趋势图，以bps或者pps展示指定时间段内实例上的入流量、出流量、攻击流量趋势。 DDoS高防（国际）提供三个页签，分别是总览（与带宽趋势图相同）、入方向分布（入方向流量的分布信息）、出方向分布（出方向流量的分布信息）。说明在安全总览页面的多个趋势图中，不同的查询时间间隔对应的展示粒度不同，具体如下：查询时间≤1小时：展示粒度为1分钟。 1小时＜查询时间≤6小时：展示粒度为5分钟。 6小时＜查询时间≤24小时：展示粒度为10分钟。 1天＜查询时间≤7天：展示粒度为30分钟。 7天＜查询时间≤15天：展示粒度为1小时。 15天＜查询时间≤30天：展示粒度为6小时。
网络层攻击事件	将光标放置在被攻击的IP或端口上，可以展示被攻击的IP和端口信息、攻击的类型和峰值、防护结果。
连接数	并发连接数：客户端同一时间与DDoS高防建立的TCP连接数量。活跃连接数：当前所有状态为Established的TCP连接数量。非活跃连接数：当前除了Established状态以外，所有其他状态的TCP连接数量。新建连接数：客户端每秒内新增的与DDoS高防通信的TCP连接数。说明只有选择单个实例时，连接数报表处才会显示当前实例IP的不同端口的连接数。如果选择一个以上实例，则无法区别端口，只能显示全部端口的连接数。
业务地区及运营商分布	正常业务地区分布：正常业务流量的来源地区分布（全球、中国内地）正常业务运营商分布：正常业务流量的运营商分布