安全加速通過結合安全加速線路與DDoS高防(非中國內地)保險防護或無限防護執行個體,構建覆蓋全電訊廠商網路的防護架構,確保業務在全球電訊廠商環境下的安全性與訪問品質。本文介紹如何配置安全加速規則。
背景資訊
安全加速線路僅用於防護中國內地電訊廠商的業務流量,需要和DDoS高防(非中國內地)保險防護或無限防護執行個體搭配使用,才能防護所有的業務流量。本文以聯動使用安全加速線路2.0、DDoS高防(非中國內地)無限防護為例,可以實現:
中國內地電信、聯通以及行動電信業者流量,調度到安全加速線路2.0對應的IP上。
其他流量,調度到DDoS高防(非中國內地)無限防護對應的IP上。
限制條件
對於業務直接通過IP訪問的情境,無法實現業務流量的自動調度,不支援使用流量調度器。
操作步驟
將網站業務分別接入DDoS高防(非中國內地)無限防護和安全加速線路2.0,並確保可以正常轉寄業務流量。
- 說明
只需完成業務接入配置,無需修改網域名稱解析。
驗證業務流量正常轉寄,請參見本地驗證轉寄配置生效。
配置安全加速規則。
登入DDoS高防控制台。
在頂部功能表列左上方處,選擇非中國內地,跳轉到DDoS高防(非中國內地)控制台。
在左側導覽列,選擇。
在通用聯動頁簽,單擊添加規則。
在添加規則頁面,配置安全加速規則,並單擊確定。
參數
描述
聯動情境
選擇安全加速。
規則名
為規則命名。
規則名由英文字母、數字和底線(_)組成,不超過128個字元。
安全加速
選擇安全加速線路執行個體的IP。
DDoS高防(非中國內地)
選擇DDoS高防(非中國內地)無限防護執行個體的IP。
成功添加規則後,流量調度器為當前規則產生一個CNAME地址。您可以在規則列表中查看已添加的規則和CNAME地址。
按照頁面提示修改網域名稱的DNS解析設定,並單擊完成。
要使聯動規則生效,您必須在網域名稱的DNS服務位址修改網域名稱的DNS解析(如果網域名稱通過阿里雲網域名稱服務 (DNS)註冊,只需在Alibaba Cloud DNS控制台操作;否則需要在註冊網域名稱的第三方平台操作),將解析指向流量調度器的CNAME地址。
重要您修改網域名稱的DNS解析後,流量調度規則將會生效。建議您在修改DNS解析前,先通過修改本機電腦的hosts檔案配置,驗證流量調度規則,避免因回源策略不一致出現不相容問題。例如,在CDN和高防聯動且回源到OSS的情境,由於CDN回源支援修改回源HOST,而DDoS高防不支援,導致發生攻擊自動切換到DDoS高防後,DDoS高防回源到OSS的正常流量無法被識別,出現業務故障。
關於驗證流量調度規則的操作,請參見本地驗證轉寄配置生效。
關於修改網域名稱DNS解析的操作,請參見修改CNAME解析接入流量調度器。
相關操作
成功添加通用聯動規則後,您可以在規則列表,對已添加的規則執行以下操作。
操作 | 說明 |
編輯 | 編輯通用聯動規則,修改除聯動情境、規則名以外的參數配置。 |
刪除 | 刪除通用聯動規則。 警告 刪除聯動規則前,請確保網站網域名稱的解析沒有指向流量調度器CNAME,否則刪除聯動規則後,網站將無法正常訪問。 |
切到高防及回切 | 當安全加速線路黑洞或由於網速等原因不滿足業務要求時,您可以通過切到高防,將所有業務流量切換到DDoS高防(非中國內地)保險防護和無憂防護。 攻擊停止或者網路平穩後,可使用回切功能將中國內地流量切換到安全加速線路。 |