全部产品
Search

搜索本产品

    DDoS 防护:防护非网站业务

    文档中心

    DDoS 防护:防护非网站业务

    更新时间:Nov 27, 2024

    DDoS高防支持配置端口转发规则,然后使用DDoS高防的独享IP作为业务IP。配置后支持传输层防护(例如,防护SYN Flood、UDP Flood等),以及非HTTP/HTTPS协议的应用层防护。本文介绍如何快速为非网站业务配置DDoS高防。

    前提条件

    已购买DDoS高防(中国内地)实例或DDoS高防(非中国内地)实例。具体操作,请参见购买DDoS高防实例

    步骤一:添加端口转发规则

    业务接入DDoS高防前,您需要先添加端口转发规则,业务流量会根据您配置的规则进行转发。

    1. 登录DDoS高防控制台

    2. 在顶部菜单栏左上角处,选择地域。

      • DDoS高防(中国内地):选择中国内地地域。

      • DDoS高防(非中国内地):选择非中国内地地域。

    3. 在左侧导航栏,选择接入管理 > 端口接入

    4. 端口接入页面,选择目标DDoS高防实例,添加端口转发规则。

      说明

      转发协议后有叹号图标的规则表示配置网站业务时自动生成的规则,用来转发网站业务的流量。不支持手动编辑和删除,当使用该转发规则的所有网站配置取消与当前DDoS高防实例的关联后,规则将会被自动删除。关于如何配置网站业务,请参见添加网站配置

      • 如果网站信息中的服务器端口为80,则自动生成一条转发协议为TCP、转发端口为80的规则。

      • 如果网站信息中的服务器端口为443,则自动生成一条转发协议为TCP、转发端口为443的规则。

      配置项

      说明

      应用层防护增强端口

      仅TCP协议的业务支持开启,防护针对非HTTP/HTTPS的应用层协议攻击。

      攻击类型介绍,请参见适合防御的DDoS攻击类型

      转发协议

      转发协议类型,可选值:TCP、UDP。

      转发端口

      DDoS高防实例使用的转发端口。

      说明

      • 为了便于管理,建议您将转发端口源站端口保持一致。

      • 为了防止私自搭建DNS防护服务器,DDoS高防不支持53端口接入配置。

      • 同一DDoS高防实例和转发协议下,每条规则的转发端口必须唯一。当您尝试添加同协议+同转发端口的规则时,系统将提示规则冲突。

      • 请避免与通过网站配置自动生成的规则冲突。

      源站端口

      源站使用的业务端口。

      回源转发模式

      默认为轮询模式,不支持修改。

      源站IP

      源站的IP地址。

      说明

      支持添加多个源站IP以实现自动负载均衡。多个IP间以半角逗号(,)分隔。最多可配置20个源站IP。

    步骤二:将业务接入DDoS高防

    端口转发规则创建完成后,您还需要将要防护的实际业务IP替换为DDoS高防的独享IP,才能正式将业务流量切换到DDoS高防。完成切换后,业务流量会先经过DDoS高防清洗,再转发到源站服务器。

    1. 在源站服务器上设置放行DDoS高防的回源IP,避免DDoS高防转发回源站的流量被源站服务器上的安全软件拦截。具体操作,请参见放行DDoS高防回源IP

    2. 通过本地计算机验证规则配置已经生效,避免规则配置不正确导致业务异常。具体操作,请参见本地验证转发配置生效

      警告

      如果规则未生效就执行业务切换,将可能导致业务中断。

    3. 将非网站业务的业务流量切换到DDoS高防实例。

      通常您只需将业务IP替换为DDoS高防实例的独享IP,即可正式将业务流量切换至DDoS高防实例,具体操作请以业务开发平台实际情况为准。

      说明

      • 如果您的业务同时使用域名来指定服务器地址(例如,游戏客户端中设置example.com域名作为服务器地址,或该域名已经写在客户端程序中),您无需配置域名接入,但需要在域名的DNS解析服务提供商处修改DNS解析,将该域名的A记录指向DDoS高防实例的独享IP。具体操作,请参见修改DNS解析

      • 在某些场景下,您可能需要用域名来接入四层业务,并实现业务关联多高防IP且多高防IP间自动切换流量。这种情况下,推荐您通过添加域名并修改CNAME解析来接入非网站业务。具体操作,请参见CNAME解析接入非网站业务

    步骤三:设置端口转发和防护策略

    完成业务流量切换后,DDoS高防使用默认策略帮助您清洗和转发流量。您可以根据业务需要,自定义DDoS防护策略和开启会话保持、健康检查,优化DDoS高防的转发功能。

    端口接入页面,选择目标DDoS高防实例后,定位到目标转发规则,根据业务需要进行如下配置。

    配置项

    说明

    会话保持

    如果您的非网站业务接入DDoS高防后存在登录超时需要重新登录、上传数据断开等问题,您可以开启会话保持功能。会话保持可以在指定的时间范围内将同一客户端的请求转发至同一台后端服务器上。

    1. 单击会话保持列的配置

    2. 会话保持对话框,根据需要开启或关闭会话保持。

      • 开启会话保持:设置超时时间,然后单击设置超时时间并开启

      • 关闭会话保持:单击关闭会话保持

    健康检查

    适用于业务有多个源站IP时,判断源站服务器的业务可用性,在转发客户端请求时避开异常服务器。

    1. 单击健康检查列下的配置

    2. 健康检查面板,根据需要开启或关闭健康检查。

      1. 开启健康检查:打开开启健康检查,完成配置后单击确定。具体操作,请参见健康检查配置项说明

      2. 关闭健康检查:关闭开启健康检查,然后单击确定

    DDoS 防护策略

    开启DDoS防护策略,可以对接入DDoS高防的非网站业务的连接速度、包长度等参数进行限制,缓解小流量的连接型攻击。

    1. 单击DDoS 防护策略列下的配置

    2. 非网站业务DDoS防护页签,根据需要为当前转发规则设置DDoS防护策略。 更多信息,请参见设置DDoS防护策略

    步骤四:查看端口防护数据

    非网站业务接入DDoS高防后,您可以在DDoS高防的安全总览页面查看端口流量转发数据。

    1. 在左侧导航栏,单击安全总览

    2. 单击实例页签,设置要查询的实例和时间范围,查看相关信息。

      功能名称

      说明

      带宽(图示①)

      • DDoS高防(中国内地):提供带宽趋势图,以bps或者pps展示指定时间段内实例上的入流量、出流量、攻击流量、限速流量趋势。

      • DDoS高防(非中国内地):提供三个页签,分别是总览(与带宽趋势图相同)、入方向分布(入方向流量的分布信息)、出方向分布(出方向流量的分布信息)。

      连接数(图示②)

      • 并发连接数:客户端同一时间与DDoS高防建立的TCP连接数量。

        • 活跃连接数:当前所有状态为Established的TCP连接数量。

        • 非活跃连接数:当前除了Established状态以外,所有其他状态的TCP连接数量。

      • 新建连接数:客户端每秒内新增的与DDoS高防通信的TCP连接数。

      网络层攻击事件规格超限告警目的限速事件(图示③)

      • 网络层攻击事件

        将光标放置在被攻击的IP或端口上,可以查看被攻击的IP和端口信息、攻击的类型和峰值、防护结果。

      • 规格超限告警

        事件类型包含业务带宽、新建连接数和并发连接数。当事件类型对应规格超过购买的规格时会进行提示,对当前业务无影响,建议扩容升级。具体操作,请参见升级实例

        您可以单击状态列的详情跳转到系统日志页面,查看详细信息。

        说明

        超限告警数据的更新时间为每周一的10:00(GMT+8),更新后的数据为前一天的规格超限告警数据。如果您配置了站内信、短信或邮件通知,您也将会在每周一的10:00(GMT+8)收到对应通知,且数据为前一天的规格超限告警数据。

      • 目的限速事件

        当业务的新建连接数、并发连接数或业务带宽等远超实例规格时,会触发对应的限速策略,对业务产生影响,产生目的限速事件。

        • 如果是正常业务触发的限速,请尽快扩容升级。具体操作,请参见升级实例

        • 如果是遭受了DDoS攻击触发的限速,请及时调整防护策略。具体操作,请参见防护设置

        您可以单击状态列的详情跳转到系统日志页面,查看详细信息。

      正常业务地区分布正常业务运营商分布(图示④)

      • 正常业务地区分布:正常业务流量的来源地区分布。

      • 正常业务运营商分布:正常业务流量的运营商分布。