非網站業務(例如用戶端應用程式)接入DDoS高防時,需要配置連接埠轉寄規則,使業務流量先經過DDoS高防清洗,再轉寄到來源站點伺服器。本文介紹如何為非網站業務配置連接埠轉寄規則。
注意事項
僅DDoS高防(中國內地)支援大量設定規則,DDoS高防(非中國內地)不支援。
僅DDoS高防(中國內地)支援開啟應用程式層防護增強連接埠開關,開啟後可以防護針對非HTTP/HTTPS協議的應用程式層攻擊。
阿里雲帳號下所有DDoS高防執行個體釋放一個月後,DDoS高防會自動清空該帳號下所有高防的網域名稱及連接埠轉寄配置。如果您有多個DDoS高防執行個體,以最後一個執行個體釋放時間開始計算。
購買增強功能套餐的DDoS高防執行個體時,在您設定完UDP連接埠轉寄規則後,DDoS高防會預設屏蔽一些常見的用於UDP反射攻擊的連接埠。通常情況下屏蔽這些連接埠不會影響正常業務,但如果您的業務涉及其中某個連接埠,請手動解除屏蔽。詳細資料,請參見設定UDP反射攻擊防護。
說明如果您曾經自訂設定過UDP反射攻擊防護連接埠,仍以您自訂的連接埠為準。
前提條件
已購買DDoS高防(中國內地)執行個體或DDoS高防(非中國內地)執行個體。具體操作,請參見購買DDoS高防執行個體。
新增連接埠轉寄規則
新增單個連接埠轉寄規則
登入DDoS高防控制台。
在頂部功能表列左上方處,根據DDoS高防產品選擇地區。
DDoS高防(中國內地):選擇中國內地地區。
DDoS高防(非中國內地):選擇非中國內地地區。
在左側導覽列,選擇
。選擇DDoS高防執行個體後,單擊添加規則,完成規則配置後單擊確定。
說明轉寄協議後有表徵圖的規則表示配置網站業務時自動產生的規則,用來轉寄網站業務的流量。不支援手動編輯和刪除,當使用該轉寄規則的所有網站配置取消與當前DDoS高防執行個體的關聯後,規則將會被自動刪除。關於如何配置網站業務,請參見添加網站配置。
如果網站資訊中的伺服器連接埠為80,則自動產生一條轉寄協議為TCP、轉送連接埠為80的規則。
如果網站資訊中的伺服器連接埠為443,則自動產生一條轉寄協議為TCP、轉送連接埠為443的規則。
配置項
說明
應用程式層防護增強連接埠
僅TCP協議的業務支援開啟,防護針對非HTTP/HTTPS的應用程式層協議攻擊。
攻擊類型介紹,請參見適合防禦的DDoS攻擊類型。
轉寄協議
轉寄協議類型,可選值:TCP、UDP。
轉送連接埠
DDoS高防執行個體使用的轉送連接埠。
說明為了便於管理,建議您將轉送連接埠與來源站點連接埠保持一致。
為了防止私自搭建DNS防護伺服器,DDoS高防不支援53連接埠接入配置。
同一DDoS高防執行個體和轉寄協議下,每條規則的轉送連接埠必須唯一。當您嘗試添加同協議+同轉送連接埠的規則時,系統將提示規則衝突。
請避免與通過網站配置自動產生的規則衝突。
來源站點連接埠
來源站點使用的業務連接埠。
回源轉寄模式
預設為輪詢模式,不支援修改。
來源站點IP
來源站點的IP地址。
說明來源站點可以是阿里雲產品,也可以是非阿里雲產品。但當來源站點是阿里雲產品時,請確保該來源站點歸屬於當前的阿里雲帳號,如果來源站點屬於其他阿里雲帳號,請在添加前聯絡商務經理。
支援添加多個來源站點IP以實現自動負載平衡。多個IP間以半形逗號(,)分隔。最多可配置20個來源站點IP。
批量新增連接埠轉寄規則
大量新增連接埠轉寄規則時,不支援開啟應用程式層防護增強連接埠,如需開啟,請先批量新增連接埠轉寄規則後,再批量修改應用程式層防護增強連接埠開關。
在連接埠接入頁面下方,單擊
。在添加規則對話方塊,按照格式要求填入要添加的規則配置,並單擊確定。
每行對應一條規則,每條規則包含四個欄位,從左至右依次是協議、轉送連接埠、來源站點連接埠、來源站點IP,欄位間以空格分隔。
在添加規則對話方塊,選中要上傳的規則,並單擊上傳。
後續操作
添加規則後,您還需要允許存取DDoS高防回源IP、驗證本地轉寄配置生效、將非網站業務的業務流量切換到DDoS高防執行個體,才能完成非網站業務的接入。
在來源站點伺服器上設定允許存取DDoS高防的回源IP,避免DDoS高防轉寄回來源站點的流量被來源站點伺服器上的安全軟體攔截。具體操作,請參見允許存取DDoS高防回源IP。
通過本機電腦驗證規則配置已經生效,避免規則配置不正確導致業務異常。具體操作,請參見本地驗證轉寄配置生效。
警告如果規則未生效就執行業務切換,將可能導致業務中斷。
將非網站業務的業務流量切換到DDoS高防執行個體。
通常您只需將業務IP替換為DDoS高防執行個體的獨享IP,即可正式將業務流量切換至DDoS高防執行個體,具體操作請以業務開發平台實際情況為準。
說明如果您的業務同時使用網域名稱來指定伺服器位址(例如,遊戲用戶端中設定example.com網域名稱作為伺服器位址,或該網域名稱已經寫在用戶端程式中),您無需佈建網域名接入,但需要在網域名稱的DNS解析服務提供者處修改DNS解析,將該網域名稱的A記錄指向DDoS高防執行個體的獨享IP。具體操作,請參見修改DNS解析。
在某些情境下,您可能需要用網域名稱來接入四層業務,並實現業務關聯多高防IP且多高防IP間自動切換流量。這種情況下,推薦您通過添加網域名稱並修改CNAME解析來接入非網站業務。具體操作,請參見CNAME解析接入非網站業務。
更多操作
修改來源站點IP
下圖中①為修改單條規則中的來源站點IP入口,②為批量修改來源站點IP的入口。
修改應用程式層防護增強連接埠開關
下圖中①為修改單條規則中的開關入口,②為批量修改開關的入口。請勿單擊應用程式層防護增強下的配置,該按鈕為防護策略的入口。
刪除連接埠轉寄規則
對於手動添加的規則,如果您不再需要Anti-DDoS Pro對業務進行轉寄,您必須先恢複實際業務IP,即確保實際業務沒有使用高防IP,然後刪除對應的規則。如果您未恢複實際業務IP就刪除規則,那麼可能導致業務中斷。
下圖中①為刪除單條規則的入口,②為大量刪除規則的入口。