全部產品
Search
文件中心

Anti-DDoS:配置連接埠轉寄規則

更新時間:Jun 30, 2024

非網站業務(例如用戶端應用程式)接入DDoS高防時,需要配置連接埠轉寄規則,使業務流量先經過DDoS高防清洗,再轉寄到來源站點伺服器。本文介紹如何為非網站業務配置連接埠轉寄規則。

前提條件

已購買DDoS高防(中國內地)執行個體或DDoS高防(非中國內地)執行個體。具體操作,請參見購買DDoS高防執行個體

添加連接埠轉寄規則

  1. 登入DDoS高防控制台

  2. 在頂部功能表列左上方處,選擇地區。

    • DDoS高防(中國內地):選擇中國內地地區。

    • DDoS高防(非中國內地):選擇非中國內地地區。

  3. 在左側導覽列,選擇接入管理 > 連接埠接入

  4. 連接埠接入頁面,選擇DDoS高防執行個體後,添加連接埠轉寄規則。

    說明

    轉寄協議後有歎號表徵圖的規則表示配置網站業務時自動產生的規則,用來轉寄網站業務的流量。不支援手動編輯和刪除,當使用該轉寄規則的所有網站配置取消與當前DDoS高防執行個體的關聯後,規則將會被自動刪除。關於如何配置網站業務,請參見添加網站配置

    • 如果網站資訊中的伺服器連接埠為80,則自動產生一條轉寄協議為TCP、轉送連接埠為80的規則。

    • 如果網站資訊中的伺服器連接埠為443,則自動產生一條轉寄協議為TCP、轉送連接埠為443的規則。

    • 添加單條規則

      單擊添加規則,完成規則配置後單擊確定

      配置項

      說明

      轉寄協議

      轉寄協議類型,可選值:TCP、UDP。

      轉送連接埠

      DDoS高防執行個體使用的轉送連接埠。

      說明
      • 為了便於管理,建議您將轉送連接埠來源站點連接埠保持一致。

      • 為了防止私自搭建DNS防護伺服器,DDoS高防不支援53連接埠接入配置。

      • 同一DDoS高防執行個體和轉寄協議下,每條規則的轉送連接埠必須唯一。當您嘗試添加同協議+同轉送連接埠的規則時,系統將提示規則衝突。

      • 請避免與通過網站配置自動產生的規則衝突。

      來源站點連接埠

      來源站點使用的業務連接埠。

      來源站點IP

      來源站點的IP地址。

      說明

      支援添加多個來源站點IP以實現自動負載平衡。多個IP間以半形逗號(,)分隔。最多可配置20個來源站點IP。

    • 大量新增規則

      1. 在頁面下方,單擊大量操作 > 添加規則

      2. 添加規則對話方塊,按照格式要求填入要添加的規則配置,並單擊確定

        每行對應一條規則,每條規則包含四個欄位,從左至右依次是協議、轉送連接埠、來源站點連接埠、來源站點IP,欄位間以空格分隔。

      3. 添加規則對話方塊,選中要上傳的規則,並單擊上傳

後續操作

添加規則後,您還需要允許存取DDoS高防回源IP、驗證本地轉寄配置生效、將非網站業務的業務流量切換到DDoS高防執行個體,才能完成非網站業務的接入。

  1. 在來源站點伺服器上設定允許存取DDoS高防的回源IP,避免DDoS高防轉寄回來源站點的流量被來源站點伺服器上的安全軟體攔截。具體操作,請參見允許存取DDoS高防回源IP

  2. 通過本機電腦驗證規則配置已經生效,避免規則配置不正確導致業務異常。具體操作,請參見本地驗證轉寄配置生效

    警告

    如果規則未生效就執行業務切換,將可能導致業務中斷。

  3. 將非網站業務的業務流量切換到DDoS高防執行個體。

    通常您只需將業務IP替換為DDoS高防執行個體的獨享IP,即可正式將業務流量切換至DDoS高防執行個體,具體操作請以業務開發平台實際情況為準。

    說明
    • 如果您的業務同時使用網域名稱來指定伺服器位址(例如,遊戲用戶端中設定example.com網域名稱作為伺服器位址,或該網域名稱已經寫在用戶端程式中),您無需佈建網域名接入,但需要在網域名稱的DNS解析服務提供者處修改DNS解析,將該網域名稱的A記錄指向DDoS高防執行個體的獨享IP。具體操作,請參見修改DNS解析

    • 在某些情境下,您可能需要用網域名稱來接入四層業務,並實現業務關聯多高防IP且多高防IP間自動切換流量。這種情況下,推薦您通過添加網域名稱並修改CNAME解析來接入非網站業務。具體操作,請參見CNAME解析接入非網站業務

更多操作

編輯連接埠轉寄規則

您可以通過編輯規則,修改規則的來源站點IP。如果轉寄協議或連接埠發生變化,您必須添加新的規則。

  1. 登入DDoS高防控制台

  2. 在頂部功能表列左上方處,選擇地區。

    • DDoS高防(中國內地):選擇中國內地地區。

    • DDoS高防(非中國內地):選擇非中國內地地區。

  3. 在左側導覽列,選擇接入管理 > 連接埠接入

  4. 連接埠接入頁面,選擇DDoS高防執行個體後,編輯連接埠轉寄規則。

    • 編輯單條規則

      1. 定位到要編輯的規則,單擊操作列的編輯

      2. 編輯規則對話方塊,修改來源站點IP,並單擊確定

    • 大量編輯規則

      說明

      僅DDoS高防(中國內地)支援大量編輯規則,DDoS高防(非中國內地)暫不支援。

      1. 在規則列表下方選擇大量操作 > 編輯規則,在編輯規則對話方塊,按照格式要求填入要修改的規則配置,並單擊確定

      2. 編輯規則對話方塊,選中要上傳的規則,單擊上傳

刪除連接埠轉寄規則

警告

對於手動添加的規則,如果您不再需要Anti-DDoS Pro對業務進行轉寄,您必須先恢複實際業務IP,即確保實際業務沒有使用高防IP,然後刪除對應的規則。如果您未恢複實際業務IP就刪除規則,那麼可能導致業務中斷。

  1. 登入DDoS高防控制台

  2. 在頂部功能表列左上方處,選擇地區。

    • DDoS高防(中國內地):選擇中國內地地區。

    • DDoS高防(非中國內地):選擇非中國內地地區。

  3. 在左側導覽列,選擇接入管理 > 連接埠接入

  4. 連接埠接入頁面,選擇DDoS高防執行個體後,刪除連接埠轉寄規則。

    • 刪除單條規則:單擊目標規則操作列的刪除

    • 大量刪除規則:選中多個要刪除的規則,單擊規則列表下方的大量刪除

  5. 在刪除提示對話方塊中,確認刪除操作。