網站網域名稱接入DDoS高防後,您需要將網站的DNS解析指向DDoS高防產生的CNAME地址,以啟用DDoS攻擊防護。本文將引導您完成從快速接入到進階配置的全過程,並確保業務平滑切換。
適用範圍
已購買DDoS高防(中國內地)執行個體或DDoS高防(非中國內地)執行個體。具體操作,請參見購買DDoS高防執行個體。
如果網站業務要接入DDoS高防(中國內地)執行個體,網站網域名稱必須已經完成ICP備案。更多資訊,請參見備案說明。
說明DDoS高防(非中國內地)的網站沒有ICP備案的限制。
操作步驟
登入DDoS高防控制台的網域名稱接入頁面。
在頂部功能表列左上方處,根據DDoS高防產品選擇地區。
DDoS高防(中國內地):選擇中國內地地區。
DDoS高防(非中國內地):選擇非中國內地地區。
在網域名稱接入頁面,單擊添加網站。
說明也可以在頁面最下方單擊大量匯入,大量匯入網站配置。網站配置採用XML檔案格式傳入,關於檔案格式的詳細介紹,請參見其他動作。
填寫網站接入資訊,然後單擊下一步。
基礎配置
功能套餐:選擇要關聯的DDoS高防執行個體的功能套餐。可選項:標準功能、增強功能。
說明將游標放置在功能套餐後的
表徵圖上,查看標準功能和增強功能套餐的功能差異。更多資訊,請參見標準功能和增強功能的差異。執行個體:選擇要關聯的DDoS高防執行個體。
重要一個網站網域名稱最多可以關聯8個DDoS高防執行個體,且只能關聯同一種功能套餐下的執行個體。
網站:填寫要防護的網站網域名稱,支援精確網域名稱(如
www.example.com)和泛網域名稱(如*.example.com)。說明如果同時存在泛網域名稱和精確網域名稱配置(例如,
*.aliyundoc.com和www.aliyundoc.com),DDoS高防優先使用精確網域名稱(即www.aliyundoc.com)所配置的轉寄規則和防護策略。如果填寫的是頂層網域,僅防護頂層網域,不支援對次層網域等子網域名稱進行防護。如果您要防護次層網域,請輸入次層網域或者泛網域名稱。
僅支援配置為網域名稱,不支援填寫網站IP。
協議類型:選擇網站支援的協議。
HTTP / HTTPS:Web網站的基礎協議。
說明HTTPS相關配置,請參見HTTPS配置頁簽說明。
Websocket / Websockets:即時通訊協定,選中後會自動關聯HTTP/HTTPS。
伺服器位址:設定DDoS高防回源時請求的後端伺服器(即來源站點伺服器)地址。
來源站點IP:填寫來源站點伺服器的公網IP地址,支援多個IP,用半形逗號(,)分隔。填寫執行個體如下:
來源站點在阿里雲:一般填寫來源站點ECS的公網IP地址。如果ECS前面部署了SLB,則填寫SLB的公網IP地址。
來源站點在阿里雲外的IDC機房或者其他雲端服務商:使用
ping 網域名稱命令,查詢網域名稱解析到的公網IP地址,並填寫擷取的公網IP。
來源站點網域名稱:
適用情境:適用於來源站點和高防之間配置了其他代理服務的情境。填寫樣本如下:
如前置代理為WAF,可填寫WAF的CNAME地址。更多資訊,請參見通過聯合部署DDoS高防和WAF提升網站防護能力。
如果設定的來源站點網域名稱為OSS儲存空間(Bucket)的預設外網訪問網域名稱,則對應儲存空間必須已綁定自訂網域名。更多資訊,請參見綁定自訂網域名。
填寫限制:最多支援配置10個來源站點網域名稱,多個網域名稱間通過換行分隔。
服務器連接埠:設定來源站點伺服器上監聽網站服務的連接埠。
HTTP/Websocket :預設連接埠為 80。
HTTPS/Websockets: 預設連接埠為 443。
自訂伺服器連接埠:
多連接埠設定:支援多個連接埠,用半形逗號(,)分隔。所有接入DDoS高防執行個體防護的網站業務下自訂的不同連接埠(包含不同協議下的自訂連接埠)的總數不能超過10個。
連接埠範圍(HTTP/HTTPS):80~65535
HTTPS配置
網站支援的協議選擇HTTPS加密認證時,請完成以下配置。
配置認證:啟用HTTPS必須配置與網站網域名稱匹配的SSL認證。
手動上傳:填寫認證名稱:,並將認證檔案和私密金鑰檔案中的常值內容分別複製粘貼到認證檔案和私密金鑰檔案框中。
說明對於PEM、CER、CRT格式的認證,您可以使用文字編輯器直接開啟認證檔案,複製其中的常值內容。對於其他格式(例如,PFX、P7B等)的認證,您需要將認證檔案轉換成PEM格式後,才能用文字編輯器開啟並複製其中的常值內容。關於認證格式的轉換方式,請參見認證格式轉換或HTTPS認證轉換成PEM格式。
如果該HTTPS認證有多個認證檔案(例如,憑證鏈結),您需要將憑證鏈結中的常值內容拼接合并後粘貼至認證檔案中。
選擇已有認證:通過阿里雲Certificate Management Service (Original SSL Certificate)申請的認證,或者您已將認證上傳到數位憑證管理服務,可以直接選擇認證。
配置TLS安全性原則:
說明更多說明,請參見自訂伺服器HTTPS認證的TLS安全性原則。
TLS版本::選擇國際標準HTTPS認證支援的TLS協議版本。
支援TLS1.0及以上版本,相容性最好,安全性較低:支援TLS 1.0、TLS 1.1和TLS 1.2。
支援TLS1.1及以上版本,相容性較好,安全性較好:支援TLS 1.1和TLS 1.2。
支援TLS1.2及以上版本,相容性較好,安全性很高:支援TLS 1.2。
開啟支援TLS1.3:支援TLS1.3。
加密套件::選擇國際標準HTTPS認證支援的加密套件,或自訂加密套件。將游標放置在某個加密套件選項上的
表徵圖,查看該選項包含的加密套件。
啟用雙向認證:
阿里雲簽發:在請選擇預設CA認證下拉框中選擇,通過阿里雲Certificate Management Service (Original SSL Certificate)簽發的CA認證。
非阿里雲簽發:
請先將自簽名CA認證上傳至Certificate Management Service (Original SSL Certificate)。具體操作,請參見上傳認證倉庫(上傳認證)。
在請選擇預設CA認證下拉框中選擇上傳的自簽CA認證。
啟用OCSP Stapling:OCSP表示線上憑證狀態通訊協定,用於向簽發服務端認證的CA(Certificate Authority)中心發起查詢請求,檢查認證是否被吊銷。在與伺服器進行TLS握手時,用戶端必須同時擷取認證和對應的OCSP響應。
重要OCSP 響應經由 CA 數位簽章,無法偽造,因此啟用此功能不會引入額外的安全風險。
未啟用(預設):用戶端在 TLS 握手請求時自行向 CA 中心發起 OCSP查詢,以驗證認證是否被吊銷。此過程會阻塞串連,在網路不佳時可能導致頁面載入延遲。
啟用:由DDoS高防來執行OCSP查詢並緩衝查詢結果(緩衝時間為3600秒)。當有用戶端向伺服器發起TLS握手請求時,DDoS 高防會將緩衝的 OCSP 響應隨憑證鏈結一同發送給用戶端,從而避免用戶端查詢所產生的阻塞問題,從而提升 HTTPS 效能。
國密HTTPS:僅DDoS高防(中國內地)執行個體支援上傳國密標準HTTPS認證,認證演算法僅支援SM2。
仅支持国密客户端访问:預設關閉。
開啟:僅處理安裝國密標準認證的用戶端發來的請求。
說明開啟後國際標準HTTPS認證對應的TLS套件、雙向認證及OCSP Stapling功能配置將不會生效。
關閉:處理安裝國密標準認證的用戶端,以及安裝國際標準認證的用戶端發來的請求。
国密HTTPS证书:您需要先將認證上傳到數位憑證管理服務,才能在此處選擇。
国密HTTPS加密套件:預設啟用如下加密套件,不支援修改。
ECC-SM2-SM4-CBC-SM3
ECC-SM2-SM4-GCM-SM3
ECDHE-SM2-SM4-CBC-SM3
ECDHE-SM2-SM4-GCM-SM3
進階設定
開啟HTTPS的強制跳轉:適用於網站同時支援HTTP和HTTPS協議。開啟該設定後,所有HTTP請求將被強制轉換為HTTPS請求,且預設跳轉到443連接埠。
重要只有同時選中HTTP和HTTPS協議,並且沒有選中Websocket協議時,才可以開啟該設定。
HTTP非標準連接埠(80以外的連接埠)訪問的情境下,如果開啟了HTTPS強制跳轉,則訪問預設跳轉到HTTPS 443連接埠。
啟用HTTP2:開關開啟表示允許HTTP 2.0協議用戶端接入高防,但此時DDoS高防仍使用HTTP 1.1回源到來源站點。HTTP 2.0功能規格說明如下:
基礎規格:
串連關閉後的不活動逾時時間(http2_idle_timeout):120s
單串連最大請求數(http2_max_requests):1000
單串連最大並發流(http2_max_concurrent_streams):4
HPACK 解壓縮後整個要求標頭列表的最大值(http2_max_header_size):256K
HPACK 壓縮的要求標頭欄位的最大值(http2_max_field_size):64K
可設定規格:支援設定HTTP2.0 Stream數上限,即用戶端與DDoS高防間允許的最大並發流數量。
設定前向長連線逾時時間:用戶端與DDoS高防之間建立的 TCP 長串連,設定該串連的空閑逾時時間(兩次用戶端請求之間的最大等待時間)。
說明若在設定時間內無新請求,DDoS高防將主動關閉串連以釋放資源。
填寫轉寄配置,然後單擊下一步。
回源設定
回源負載演算法:當配置了多個來源站點IP或來源站點網域名稱時,可通過修改回源負載平衡演算法或者為不同伺服器設定權重,決定流量在多個來源站點間的分配方式。
方案
適用情境
機制說明
輪詢(預設)
多來源站點且對來源站點負載均勻要求較高的情境。
所有請求輪流分配給所有伺服器位址,預設所有伺服器位址具有相同權重。支援修改伺服器權重,伺服器權重越大,被分配到請求的可能性越高。
IP hash
需要保持使用者會話一致性的情境,極端情況下可能存在負載不均衡。
將來自同一用戶端IP的請求始終定向到同一台來源站點伺服器,以保證會話一致性。支援設定IP hash的同時為伺服器設定權重,根據伺服器的處理能力進行權重分配,可將流量優先導向效能更強的伺服器。
Least time
對訪問速度和響應延遲極其敏感的業務(如遊戲、線上交易)。
通過智能DNS解析能力和Least time回源演算法,保證業務流量從接入防護節點到轉寄回來源站點伺服器整個鏈路的時延最短。
回源重試:表示對網域名稱轉寄來源站點的可用性進行健全狀態檢查的探測次數,預設值3。回源重試機制如下:
僅當業務流量訪問高防節點時觸發回源重試功能,當高防節點檢測到標題來源站不可用時會進行回源重試。
超過重試次數仍然不可達時將進入靜默狀態,不再對該來源站點進行流量轉寄和探測。
靜默結束後重新根據業務流量觸發回源重試功能。如果回源重試成功,則對來源站點重新拉起。
流量標記:
要求標頭欄位轉寄配置:DDoS高防支援要求頭轉寄配置功能,可以在轉寄請求到來源站點時添加或修改HTTP要求標頭資訊,協助識別和標記通過高防的流量。
插入 X-Client-IP 擷取真實IP:用於傳遞用戶端真實原始的IP地址。
插入 X-True-IP 擷取建連IP:用於傳遞用戶端建立串連的IP地址。
插入 Web-Server-Type 擷取服務類型:通常由第一個代理添加,用於告知後端伺服器處理當前請求的前端Web伺服器或代理類型。
插入 WL-Proxy-Client-IP 擷取建連IP:功能與X-Client-IP相同,為 Oracle WebLogic Server 特有的要求標頭。
插入 X-Forwarded-Proto 擷取監聽協議:用戶端與第一個代理之間建立串連所使用的協議。
流量標記
預設標記
說明JA3指紋、JA4指紋、客戶端指紋、HTTP2.0指紋需聯絡商務經理配置。
如果業務使用自訂欄位代替預設標記,請參考下文自訂Header。配置後,從高防轉寄到來源站點的請求中解析該欄位,解析樣本請參見配置DDoS高防後擷取真實的請求來源IP。
客戶端真實源連接埠:HTTP Header中用戶端真實源連接埠所在的頭部欄位名,通常使用
X-Forwarded-ClientSrcPort欄位記錄。客戶端真實源IP:HTTP Header中用戶端真實源IP所在的頭部欄位名,通常使用
X-Forwarded-For欄位記錄。JA3指紋:HTTP Header中用戶端JA3指紋的MD5雜湊值所在的頭部欄位名,通常使用
ssl_client_ja3_fingerprinting_md5欄位記錄。JA4指紋:HTTP Header中用戶端JA4指紋MD5雜湊值所在的頭部欄位名,通常使用
ssl_client_ja4_fingerprinting_md5欄位記錄。客戶端指紋:HTTP Header中用戶端TLS指紋的MD5雜湊值所在的頭部欄位名,通常使用
ssl_client_tls_fingerprinting_md5欄位記錄。HTTP2.0指紋:HTTP Header中用戶端HTTP2.0指紋的MD5雜湊值所在的頭部欄位名,通常使用
http2_client_fingerprint_md5欄位記錄
自訂Header:在請求中增加自訂HTTP Header(包含欄位名稱和欄位值)來標記經過DDoS的請求。高防在代理網站流量時,會在轉寄到來源站點的請求中添加對應的欄位值,方便後端服務進行統計分析。
命名限制:為避免關聯請求原始頭部欄位的內容被改寫,自訂Header的欄位名(Key)不得使用以下保留或常用欄位:
高防預設欄位:
X-Forwarded-ClientSrcPort:預設被用於擷取訪問高防七層引擎的用戶端連接埠。X-Forwarded-ProxyPort:預設被用於擷取訪問高防七層引擎的監聽連接埠。X-Forwarded-For:預設被用於擷取訪問高防七層引擎的用戶端IP。ssl_client_ja3_fingerprinting_md5:預設被用於擷取用戶端JA3指紋MD5雜湊值。ssl_client_ja4_fingerprinting_md5:預設被用於擷取用戶端JA4指紋MD5雜湊值。ssl_client_tls_fingerprinting_md5:預設被用於擷取用戶端TLS指紋的MD5雜湊值。http2_client_fingerprint_md5:預設被用於擷取用戶端HTTP2.0指紋的MD5雜湊值。
標準HTTP欄位:如host、user-agent、connection、upgrade等。
常見代理欄位:如x-real-ip、x-true-ip、x-client-ip、web-server-type、wl-proxy-client-ip、eagleeye-rpcid、eagleeye-traceid、x-forwarded-cluster、x-forwarded-proto等被廣泛使用的自訂HTTP頭部欄位。
數量限制:最多支援添加5個自訂Header標籤。
配置建議:
請優先使用預設標記。
建議先在測試環境驗證header欄位配置效果後再應用到生產環境。
欄位值長度建議控制在100字元以內,避免影響轉寄效能。
Cname Reuse:選擇是否開啟CNAME複用。開啟CNAME複用後,只需將同一個伺服器上多個網域名稱的解析指向同一個高防CNAME地址,即可將多個網域名稱接入高防,無需為每個網域名稱分別添加高防網站配置。更多資訊,請參見CNAME複用。
重要僅DDoS高防(非中國內地)支援配置該參數。
其他設定
開啟HTTP回源:如果網站不支援HTTPS回源,請務必開啟該設定。開啟該設定後,所有HTTPS協議請求將通過HTTP協議回源、所有Websockets協議請求將通過Websocket協議回源,且預設回源連接埠為80。
說明HTTPS非標準連接埠(443以外的連接埠)訪問的情境下,如果開啟了HTTP回源,則訪問預設跳轉到來源站點HTTP 80連接埠。
HTTP2.0回源:啟用HTTP2.0回源後,DDoS將通過HTTP2.0協議向來源站點回源。
警告此功能配置,需聯絡商務經理開通。
若來源站點不支援HTTP2.0,請勿配置,否則網站無法訪問。
cookie設定
下發狀態:預設開啟。DDoS高防將會在用戶端(如瀏覽器)植入Cookie用於區分統計不同用戶端或者擷取用戶端的指紋資訊等。詳細介紹,請參見設定CC安全防護。
重要如果應用在接入高防後出現登入閃退或會話丟失問題,可以嘗試關閉此開關。但請注意,關閉後部分CC防護功能將無法生效。
Secure屬性:預設關閉。若開啟,Cookie只會在HTTPS串連中被發送,而不會在HTTP串連中發送,有助於保護Cookie不被攻擊竊取。
說明當網站業務僅支援HTTPS連結時建議開啟。
設定新建連線逾時時間:DDoS高防嘗試建立到來源站點的連線時間。
說明超過該時間串連未建立完成,會被認定為失敗。
設定讀連線逾時時間:DDoS高防成功建立串連並向來源站點發出讀取資料請求之後,等待來源站點返迴響應資料的最長時間。
設定寫連線逾時時間:資料從DDoS高防發送出去之後,並由來源站點開始處理之前,DDoS高防等待的時間長度。
說明超過這段時間,如果DDoS高防還沒有成功地將所有資料發送給來源站點,或者來源站點沒有開始處理資料,會被認定為失敗。
回源長串連:由於在快取服務器與來源站點之間,TCP串連在一段時間內保持活躍,而不是每完成一次請求就關閉,從而造成資源浪費。開啟回源長串連後可減少建立串連的時間和資源消耗,提高請求處理的效率與速度。
複用長連接的請求個數:在DDoS高防向來源站點建立的一個TCP串連中,支援發送的HTTP請求個數,可以減少因頻繁建立和關閉串連所帶來的延遲和資源消耗。
說明建議小於等於後端來源站點(如:WAF、SLB)上配置的長串連請求複用個數,以免長串連關閉造成業務無法訪問。
空閑長連線逾時時間:DDoS高防向來源站點建立的一個TCP長串連,在沒有資料轉送之後,在高防的串連池保持開啟狀態的最長時間。這個時間段內如果沒有新的請求,該串連將被關閉,以釋放系統資源。
說明建議小於等於後端來源站點(如:WAF、SLB)上配置的逾時時間長度,以免長串連關閉造成業務無法訪問。
驗證與上線
完成網站配置後,請務必遵循以下清單進行驗證和上線,以避免業務中斷。
核心操作(必選)
允許存取回源IP: 在來源站點伺服器的安全性原則(如防火牆、安全性群組)中,將DDoS高防的回源IP段允許存取(白名單),避免由高防轉寄回來源站點的流量被誤攔截。具體操作,請參見允許存取DDoS高防回源IP。
本地驗證配置: 在切換DNS解析前,通過修改本地
hosts檔案等方式,驗證高防轉寄配置是否按預期工作,以規避業務中斷風險。具體操作,請參見本地驗證轉寄配置生效。切換DNS解析: 本地驗證成功後,將網站網域名稱的DNS解析記錄修改為高防提供的CNAME地址。此操作將正式把業務流量切換至高防進行防護。具體操作,請參見使用CNAME或IP將網站網域名稱解析到DDoS高防。
可選操作
更換來源站點IP:如果來源站點是阿里雲ECS伺服器,且來源站點IP地址不慎暴露,建議更換ECS雲端服務器的公網IP,防止駭客繞過DDoS高防直接攻擊來源站點。具體操作,請參見固定公網IP。
配置DDoS策略:在DDoS高防預設防護策略(DDoS全局防护策略、AI智能防護、頻率控制)基礎上,可在網站業務DDoS防護頁簽,按需開啟更多防護功能。具體操作,請參見網站業務DDoS防護。
重要啟用CC安全防護策略可能會向用戶端植入Cookie。詳細內容,請參見Cookie植入說明。
配置CloudMonitor警示:針對DDoS高防的常用業務指標(例如,高防IP流量、串連數等)、攻擊事件(例如,黑洞、清洗事件)設定警示規則,當高防上業務發生異常時,及時發送警示,協助實現例外狀況事件的快速響應。具體操作,請參見CloudMonitor警示。
配置全量Log Service:開啟Log Service以採集並儲存網站訪問日誌(預設180天),用於業務分析及滿足等保合規要求。具體操作,請參見快速使用全量日誌分析。
配額與限制
一個網站網域名稱最多可以關聯8個DDoS高防執行個體。
一個DDoS高防執行個體下的所有網站配置,自訂連接埠(非80/443)總數不能超過10個。
最多支援添加5個自訂Header標籤。
參考資訊
備案說明
網站配置刪除
若不再需要相關網站配置,可參考如下說明刪除相關配置資料:
恢複網域名稱解析:將網域名稱的DNS解析記錄值修改為不再指向高防IP、高防CNAME或流量調度器CNAME。
警告若未先恢複網域名稱解析便刪除網站配置,可能導致業務中斷。
刪除網站配置
手動刪除:在網域名稱接入頁面,單擊目標配置單擊操作列的刪除。更多操作說明,請參考刪除網站配置。
自動刪除:當前帳號下最後一個DDoS高防執行個體釋放滿一個月後,系統會自動清空該帳號下所有高防的網域名稱及連接埠轉寄配置。
常見問題
配置完成後,網站訪問出現502/504錯誤,是什麼原因?
這通常是回源失敗導致。請按以下順序排查:
檢查來源站點防火牆/安全性群組:確認是否已將DDoS高防的回源IP段添加到白名單。
檢查“HTTP回源”配置:如果來源站點只支援HTTP(監聽80連接埠),但在DDoS高防上配置了HTTPS且未開啟“HTTP回源”,就會導致回源失敗。
檢查來源站點狀態:確認填寫的來源站點IP是否正確,以及來源站點伺服器本身是否運行正常。
啟用HTTPS後,瀏覽器提示認證錯誤?
請檢查以下幾點:
認證與網域名稱不匹配:確保認證覆蓋了您接入的網域名稱,包括
www和根網域名稱。例如,為www.example.com接入的認證,不能用於example.com,除非是萬用字元認證或多網域名稱認證。憑證鏈結不完整:上傳認證時,請確保將完整的憑證鏈結(伺服器憑證 + 中間CA認證)拼接後上傳。
認證已到期:檢查您上傳的認證是否在有效期間內。
如何確認網站流量已經經過DDoS高防?
DNS查詢:在命令列執行
ping <您的網域名稱>或dig <您的網域名稱>,查看解析出的地址是否為DDoS高防的CNAME地址或其指向的IP。控制台報表:在DDoS高防控制台的報表頁面,查看是否有流入的流量資料。
來源站點日誌:檢查您來源站點伺服器的Web訪問日誌,確認請求的來源IP是否屬於DDoS高防的回源IP段。
應用日誌裡只記錄了DDoS高防的IP,如何擷取真實的訪客IP?
這是正常現象。DDoS高防作為代理,會使用其回源IP訪問您的來源站點。為了擷取真實訪客IP,您需要在Web伺服器(如Nginx、Apache)上進行配置,從
X-Forwarded-For要求標頭中提取IP地址。具體配置方法,請參見配置DDoS高防後擷取真實的請求來源IP。