DDoS高防可防护网站类业务,将网站域名解析到DDoS高防,网站业务流量会先到DDoS高防进行防护,安全流量再由DDoS高防转发给源站服务器。本文介绍如何快速为网站业务配置DDoS防护。
前提条件
已购买DDoS高防(中国内地)实例或DDoS高防(非中国内地)实例。具体操作,请参见购买DDoS高防实例。
步骤一:添加网站配置
使用DDoS高防防护网站业务时,您必须首先在DDoS高防实例中添加要防护的域名,设置业务流量的转发策略。
登录DDoS高防控制台。
在顶部菜单栏左上角处,选择地域。
DDoS高防(中国内地):选择中国内地地域。
DDoS高防(非中国内地):选择非中国内地地域。
在左侧导航栏,选择
。在域名接入页面,单击添加网站。
说明您也可以在页面最下方单击批量导入,批量导入网站配置。网站配置采用XML文件格式传入,关于文件格式的详细介绍,请参见网站配置XML格式说明。
填写网站接入信息,然后单击下一步。
配置项
说明
功能套餐
选择要关联的DDoS高防实例的功能套餐。可选项:标准功能、增强功能。
说明将光标放置在功能套餐后的图标上,查看标准功能和增强功能套餐的功能差异。更多信息,请参见DDoS高防(中国内地&非中国内地)功能套餐。
实例
选择要关联的DDoS高防实例。
一个网站域名最多可以关联8个DDoS高防实例,且只能关联同一种功能套餐下的实例。
网站
填写要防护的网站域名。具体要求如下:
域名可以由英文字母(a~z、A~Z,不区分大小写)、数字(0~9)以及短划线(-)组成。域名的首位必须是字母或数字。
支持填写泛域名,例如,
*.aliyundoc.com
。使用泛域名时,DDoS高防自动匹配该泛域名对应的子域名。如果同时存在泛域名和精确域名配置(例如,
*.aliyundoc.com
和www.aliyundoc.com
),DDoS高防优先使用精确域名(即www.aliyundoc.com
)所配置的转发规则和防护策略。
说明如果您填写的是一级域名,DDoS高防仅防护您的一级域名,不支持对二级域名等子域名进行防护。如果您要防护二级域名,请输入二级域名或者泛域名。
协议类型
选择网站支持的协议类型。可选项:
HTTP
HTTPS:网站支持HTTPS加密认证时,请选中HTTPS协议。并在完成网站配置后上传网站域名使用的HTTPS证书。关于上传证书的操作,请参见上传HTTPS证书。您还可以为网站自定义TLS安全策略。具体操作,请参见自定义TLS安全策略。
选中HTTPS协议后,可以根据需要开启以下高级设置。
开启HTTPS的强制跳转:适用于网站同时支持HTTP和HTTPS协议。开启该设置后,所有HTTP请求将被强制转换为HTTPS请求,且默认跳转到443端口。
重要只有同时选中HTTP和HTTP协议,并且没有选中Websocket协议时,才可以开启该设置。
HTTP非标准端口(80以外的端口)访问的场景下,如果开启了HTTPS强制跳转,则访问默认跳转到HTTPS 443端口。
开启HTTP回源:如果网站不支持HTTPS回源,请务必开启该设置。开启该设置后,所有HTTPS协议请求将通过HTTP协议回源、所有Websockets协议请求将通过Websocket协议回源,且默认回源端口为80。
重要HTTPS非标准端口(443以外的端口)访问的场景下,如果开启了HTTP回源,则访问默认跳转到源站HTTP 80端口。
启用HTTP2:开关开启表示允许HTTP 2.0协议客户端接入高防,但此时DDoS高防仍使用HTTP 1.1回源到源站。
Websocket:选中该协议将自动同时选中HTTP协议,不支持单独选中Websocket协议。
Websockets:选中该协议将自动同时选中HTTPS协议,不支持单独选中Websockets协议。
服务器地址
选择源站服务器的地址类型,并填写源站服务器的地址。支持的地址类型包括:
源站IP:表示源站服务器的IP地址。最多支持配置20个源站IP地址,多个IP地址间使用半角逗号(,)分隔。
如果源站在阿里云,一般填写源站ECS的公网IP地址;如果ECS前面部署了SLB,则填写SLB的公网IP地址。
如果源站在阿里云外的IDC机房或者其他云服务商,您可以使用
ping 域名
命令,查询域名解析到的公网IP地址,并填写获取的公网IP。
源站域名:通常适用于源站和高防之间还部署有其他代理服务(例如,Web 应用防火墙 WAF(Web Application Firewall))的场景,表示代理服务的跳转地址。最多支持配置10个源站域名,多个域名间通过换行分隔。
例如,您在部署DDoS高防实例后还需要部署WAF,以提升应用安全防护能力,您可以选择源站域名,并填写WAF的CNAME地址。更多信息,请参见通过联合部署DDoS高防和WAF提升网站防护能力。
配置多个服务器地址(源站IP、源站域名)后,DDoS高防默认以IP Hash的方式转发网站访问流量至源站,自动实现负载均衡。保存网站配置后,您可以通过回源设置,修改源站负载算法。具体操作,请参见修改回源设置。
服务器端口
根据协议类型,设置源站提供对应服务的端口。
HTTP协议、Websocket协议的端口默认为80。
HTTPS协议、HTTP2协议、Websockets协议的端口默认为443。
您可以单击自定义,自定义服务器端口,多个端口间使用半角逗号(,)分隔,具体限制如下。
自定义端口必须在可选端口范围内。
标准功能实例:
HTTP协议可选端口:80、8080。
HTTPS协议可选端口:443、8443。
增强功能实例:
HTTP协议可选端口范围:80~65535。
HTTPS协议可选端口范围:80~65535。
所有接入DDoS高防实例防护的网站业务下自定义的不同端口(包含不同协议下的自定义端口)的总数不能超过10个。
例如,您有2个网站(A和B),网站A提供HTTP服务、网站B提供HTTPS服务。如果网站A的接入配置中自定义了HTTP 80、8080端口,那么在网站B的接入配置中,最多可以自定义8个不同的HTTPS端口。
Cname Reuse
仅DDoS高防(非中国内地)支持配置该参数。选择是否开启CNAME复用。
该功能适用于同一台服务器上有多个网站业务的场景。开启CNAME复用后,您只需将同一个服务器上多个域名的解析指向同一个高防CNAME地址,即可将多个域名接入高防,无需为每个域名分别添加高防网站配置。更多信息,请参见CNAME复用。
填写转发配置,然后单击下一步。
配置项
说明
启用OCSP Stapling
选择是否启用OCSP Stapling功能。
重要该功能适用于网站HTTPS业务。如果您已选择的协议类型包含HTTPS,推荐启用该功能。
OCSP表示在线证书状态协议,该协议用于向签发证书的CA(Certificate Authority)中心发起查询请求,检查证书是否被吊销。在与服务器进行TLS握手时,客户端必须同时获取证书和对应的OCSP响应。
未启用(默认):表示由客户端浏览器向CA中心发起OCSP查询。该方式会导致客户端在获得OCSP响应前阻塞后续的事件,在网络情况不佳时,将造成较长时间的页面空白,降低HTTPS的性能。
启用:表示由DDoS高防来执行OCSP查询并缓存查询结果(缓存时间为3600秒)。当有客户端向服务器发起TLS握手请求时,DDoS高防将证书的OCSP信息随证书链一起发送给客户端,从而避免了客户端查询会产生的阻塞问题。由于OCSP响应是无法伪造的,因此这一过程不会产生额外的安全问题。
流量标记
获取客户端真实源端口
打开该开关后,高防在代理网站流量时,默认使用
X-Forwarded-ClientSrcPort
字段记录真实的客户端源端口。您可以从高防转发到源站的请求中解析X-Forwarded-ClientSrcPort
字段,获取客户端使用的真实端口。具体操作与获取客户端真实请求IP类似,更多信息,请参见配置DDoS高防后获取真实的请求来源IP。其他自定义Header
添加自定义Header字段后,高防在代理网站流量时,会在转发到源站的请求中添加对应的字段值,方便您后端的服务进行统计分析。
添加自定义Header注意事项:
请不要使用以下默认字段作为自定义Header:
X-Forwarded-ClientSrcPort
:默认被用于获取访问高防七层引擎的客户端端口。X-Forwarded-ProxyPort
:默认被用于获取访问高防七层引擎的监听端口。
请不要使用标准HTTP头部字段(例如,user-agent等),否则会导致请求原始头部字段的内容被改写。
最多支持添加5个自定义Header。
回源负载算法
有多个源站服务器地址(源站IP或源站域名)时需要配置。您可以修改回源负载均衡算法或者为不同服务器设置权重。
其他设置
设置新建连接超时时间:DDoS高防尝试建立到源站的连接时,超过该时间连接未建立完成,会被认定为失败。支持设置为1~10秒。
设置读连接超时时间:DDoS高防成功建立连接并向源站发出读取数据请求之后,等待源站返回响应数据的最长时间。支持设置为10~300秒。
设置写连接超时时间:数据从DDoS高防发送出去之后,并由源站开始处理之前,DDoS高防等待的时间长度。超过这段时间,如果DDoS高防还没有成功地将所有数据发送给源站,或者源站没有开始处理数据,会被认定为失败。支持设置为10~300秒。
回源重试:当DDoS高防请求的资源在缓存服务器上没有命中时,缓存服务器将尝试从上一级缓存服务器或源站重新获取该资源。
回源长连接:在缓存服务器与源站之间,使TCP连接在一段时间内保持活跃,而不是每完成一次请求就关闭。开启后可以减少建立连接的时间和资源消耗,提高请求处理的效率与速度。
复用长连接的请求个数:在DDoS高防向源站建立的一个TCP连接中,支持发送的HTTP请求个数,可以减少因频繁建立和关闭连接所带来的延迟和资源消耗。支持设置为10~1000。建议小于等于后端源站(如:WAF、SLB)上配置的长连接请求复用个数,以免长连接关闭造成业务无法访问。
空闲长连接超时时间:DDoS高防向源站建立的一个TCP长连接,在没有数据传输之后,在高防的连接池保持开启状态的最长时间。这个时间段内如果没有新的请求,该连接将被关闭,以释放系统资源。支持设置为10~30秒。建议小于等于后端源站(如:WAF、SLB)上配置的超时时长,以免长连接关闭造成业务无法访问。
步骤二:将网站业务流量切换到DDoS高防
网站的访问流量需要先经过DDoS高防清洗再转发到源站服务器,实现由DDoS高防实例帮助网站防御DDoS攻击流量。
在源站服务器上放行DDoS高防回源IP。
如果源站服务器上安装了防火墙等安全软件,您需要在源站放行DDoS高防回源IP,避免由高防转发回源站的流量被误拦截。具体操作,请参见放行DDoS高防回源IP
在本地验证转发配置是否生效。具体操作,请参见本地验证转发配置生效。
警告如果转发配置未生效就执行业务切换,将可能导致业务中断。
修改DNS解析将业务流量切换到DDoS高防。
添加网站配置后,DDoS高防为网站分配一个CNAME地址,您必须将网站域名的DNS解析指向高防CNAME地址,才可以正式将业务流量切换到高防实例进行防护。具体操作,请参见使用CNAME或IP将网站域名解析到DDoS高防。
步骤三:设置网站业务防护策略
DDoS高防默认为接入防护的网站开启了DDoS全局防护策略、AI智能防护和频率控制防护功能,您可以在网站业务DDoS防护页签,为网站开启更多的防护功能或修改防护功能的规则。
在左侧导航栏,选择
。在域名接入页面,定位到目标域名,单击操作列的防护设置。
在网站业务DDoS防护页签下,根据需要为目标域名设置DDoS防护策略。
配置项
说明
AI智能防护
默认开启,由智能大数据分析引擎自学习业务流量基线,发现并阻断新型CC攻击,在流量异常时,基于历史流量分布,动态调整各执行模块策略阻断异常请求。支持手动修改防护模式和等级。更多信息,请参见设置AI智能防护。
DDoS全局防护策略
默认开启,DDoS防护引擎根据流量清洗力度,为接入高防防护的网站业务提供三套内置的全局防护策略,帮助业务在攻击发生的瞬间快速应对脉冲式攻击,提高响应及时性。更多信息,请参见设置DDoS全局防护策略。
黑/白名单(针对域名)
开启针对域名的访问源IP黑白名单后,黑名单IP/IP段对域名的访问请求将会被直接阻断,白名单IP/IP段对域名的访问请求将被直接放行,且不经过任何防护策略过滤。更多信息,请参见设置黑白名单(针对域名)。
区域封禁(针对域名)
一键阻断来自指定地区来源IP的所有网站访问请求。更多信息,请参见设置区域封禁(针对域名)。
精准访问控制
使用常见的HTTP字段(例如IP、URL、Referer、UA、参数等)设置匹配条件,用来筛选访问请求,并对命中条件的请求设置放行、封禁、挑战操作。更多信息,请参见设置CC安全防护。
频率控制
默认开启,限制单一源IP对网站的访问频率。频率控制开启后自动生效,且默认使用正常防护模式,帮助网站防御一般的CC攻击。支持手动调整防护模式和自定义访问频率控制规则。更多信息,请参见设置频率控制。
步骤四:查看网站业务防护数据
网站业务接入DDoS高防后,您可以在DDoS高防控制台使用安全报表和日志功能查看业务防护数据。
在安全总览页面,查看实例和域名的业务数据以及遭受的DDoS攻击详情。更多信息,请参见安全总览。
在操作日志页面,查看重要操作记录。更多信息,请参见操作日志。
在全量日志分析页面,查看网站业务的日志。更多信息,请参见快速使用全量日志分析。
说明DDoS高防全量日志分析是增值服务,需要单独开通并启用。开通全量日志分析后,阿里云日志服务将对接DDoS高防的网站访问日志和CC攻击日志,并对采集到的日志数据进行实时检索与分析,以仪表盘形式向您展示查询结果。更多信息,请参见什么是日志服务。