全部产品
Search
文档中心

DDoS 防护:添加网站配置

更新时间:Nov 19, 2024

将网站域名配置到DDoS高防后,DDoS高防会为网站生成一个CNAME地址,您需要将网站域名的DNS解析指向高防CNAME地址,DDoS高防才能转发业务流量为网站防御DDoS攻击。本文介绍如何添加网站配置。

注意事项

接入DDoS高防(中国内地)的网站必须经过ICP备案,接入DDoS高防(非中国内地)的网站没有ICP备案的限制。

说明
  • DDoS高防(中国内地)会定期查询已接入防护的网站域名的备案状态,备案失效时DDoS高防(中国内地)会停止相关业务的流量转发,并在域名接入页面提示“域名未履行ICP备案,请您及时更新备案状态”。出现提示时,如果您需要恢复业务流量转发,必须及时更新域名的备案状态。

  • 如果您的高防回源站点为阿里云产品时,需要同时满足高防及回源产品的备案要求,否则将影响回源流量转发,具体请查看各云产品的官网文档或咨询技术支持人员。例如源站服务器是ECS时,您需要为ECS开通ICP备案,具体请参见ICP备案服务器检查ICP备案流程

  • 您同账号下所有高防实例释放一个月后,高防会自动清空该账号下所有高防的域名及端口转发配置。如果您有多个高防实例,以最后一个实例释放时间开始计算。

前提条件

  • 已购买DDoS高防(中国内地)实例或DDoS高防(非中国内地)实例。具体操作,请参见购买DDoS高防实例

  • 如果网站业务要接入DDoS高防(中国内地)实例,网站域名必须已经完成ICP备案。更多信息,请参见ICP备案流程

添加网站配置

  1. 登录DDoS高防控制台

  2. 在顶部菜单栏左上角处,选择地域。

    • DDoS高防(中国内地):选择中国内地地域。

    • DDoS高防(非中国内地):选择非中国内地地域。

  3. 在左侧导航栏,选择接入管理 > 域名接入

  4. 域名接入页面,单击添加网站

    说明

    您也可以在页面最下方单击批量导入,批量导入网站配置。网站配置采用XML文件格式传入,关于文件格式的详细介绍,请参见网站配置XML格式说明

    1. 填写网站接入信息,然后单击下一步

      配置项

      说明

      功能套餐

      选择要关联的DDoS高防实例的功能套餐。可选项:标准功能增强功能

      说明

      将光标放置在功能套餐后的功能套餐说明图标上,查看标准功能和增强功能套餐的功能差异。更多信息,请参见DDoS高防(中国内地&非中国内地)功能套餐

      实例

      选择要关联的DDoS高防实例。

      一个网站域名最多可以关联8个DDoS高防实例,且只能关联同一种功能套餐下的实例。

      网站

      填写要防护的网站域名。具体要求如下:

      • 域名可以由英文字母(a~z、A~Z,不区分大小写)、数字(0~9)以及短划线(-)组成。域名的首位必须是字母或数字。

      • 支持填写泛域名,例如,*.aliyundoc.com。使用泛域名时,DDoS高防自动匹配该泛域名对应的子域名。

      • 如果同时存在泛域名和精确域名配置(例如,*.aliyundoc.comwww.aliyundoc.com),DDoS高防优先使用精确域名(即www.aliyundoc.com)所配置的转发规则和防护策略。

      说明
      • 如果您填写的是一级域名,DDoS高防仅防护您的一级域名,不支持对二级域名等子域名进行防护。如果您要防护二级域名,请输入二级域名或者泛域名。

      • 仅支持配置为域名,不支持填写网站IP。

      协议类型

      选择网站支持的协议类型。可选项:

      • HTTP

      • HTTPS:网站支持HTTPS加密认证时,请选中HTTPS协议。并在完成网站配置后上传网站域名使用的HTTPS证书。关于上传证书的操作,请参见上传HTTPS证书。您还可以为网站自定义TLS安全策略。具体操作,请参见自定义TLS安全策略

        选中HTTPS协议后,可以根据需要开启以下高级设置。

        • 开启HTTPS的强制跳转:适用于网站同时支持HTTP和HTTPS协议。开启该设置后,所有HTTP请求将被强制转换为HTTPS请求,且默认跳转到443端口。

          重要
          • 只有同时选中HTTPHTTP协议,并且没有选中Websocket协议时,才可以开启该设置。

          • HTTP非标准端口(80以外的端口)访问的场景下,如果开启了HTTPS强制跳转,则访问默认跳转到HTTPS 443端口。

        • 开启HTTP回源:如果网站不支持HTTPS回源,请务必开启该设置。开启该设置后,所有HTTPS协议请求将通过HTTP协议回源、所有Websockets协议请求将通过Websocket协议回源,且默认回源端口为80。

          重要

          HTTPS非标准端口(443以外的端口)访问的场景下,如果开启了HTTP回源,则访问默认跳转到源站HTTP 80端口。

        • 启用HTTP2:开关开启表示允许HTTP 2.0协议客户端接入高防,但此时DDoS高防仍使用HTTP 1.1回源到源站。

          HTTP 2.0功能规格说明

          • 连接关闭后的不活动超时时间(http2_idle_timeout):120s

          • 单连接最大请求数(http2_max_requests):1000

          • 单连接最大并发流(http2_max_concurrent_streams):4

          • HPACK 解压缩后整个请求头列表的最大值(http2_max_header_size):256K

          • HPACK 压缩的请求头字段的最大值(http2_max_field_size):64K

      • Websocket:选中该协议将自动同时选中HTTP协议,不支持单独选中Websocket协议。

      • Websockets:选中该协议将自动同时选中HTTPS协议,不支持单独选中Websockets协议。

      服务器地址

      选择源站服务器的地址类型,并填写源站服务器的地址。支持的地址类型包括:

      • 源站IP:表示源站服务器的IP地址。最多支持配置20个源站IP地址,多个IP地址间使用半角逗号(,)分隔。

        • 如果源站在阿里云,一般填写源站ECS的公网IP地址;如果ECS前面部署了SLB,则填写SLB的公网IP地址。

        • 如果源站在阿里云外的IDC机房或者其他云服务商,您可以使用ping 域名命令,查询域名解析到的公网IP地址,并填写获取的公网IP。

      • 源站域名:通常适用于源站和高防之间还部署有其他代理服务(例如,Web 应用防火墙 WAF(Web Application Firewall))的场景,表示代理服务的跳转地址。最多支持配置10个源站域名,多个域名间通过换行分隔。

        例如,您在部署DDoS高防实例后还需要部署WAF,以提升应用安全防护能力,您可以选择源站域名,并填写WAF的CNAME地址。更多信息,请参见通过联合部署DDoS高防和WAF提升网站防护能力

        重要

        如果您设置的源站域名为OSS存储空间(Bucket)的默认外网访问域名,则对应存储空间必须已绑定自定义域名。更多信息,请参见绑定自定义域名

      配置多个服务器地址(源站IP、源站域名)后,DDoS高防默认以IP Hash的方式转发网站访问流量至源站,自动实现负载均衡。保存网站配置后,您可以通过回源设置,修改源站负载算法。具体操作,请参见修改回源设置

      服务器端口

      根据协议类型,设置源站提供对应服务的端口。

      • HTTP协议、Websocket协议的端口默认为80。

      • HTTPS协议、HTTP2协议、Websockets协议的端口默认为443。

      自定义服务器端口,多个端口间使用半角逗号(,)分隔,具体限制如下。

      • 自定义端口必须在可选端口范围内。

        • 标准功能实例:

          • HTTP协议可选端口:80、8080。

          • HTTPS协议可选端口:443、8443。

        • 增强功能实例:

          • HTTP协议可选端口范围:80~65535。

          • HTTPS协议可选端口范围:80~65535。

      • 所有接入DDoS高防实例防护的网站业务下自定义的不同端口(包含不同协议下的自定义端口)的总数不能超过10个。

        例如,您有2个网站(A和B),网站A提供HTTP服务、网站B提供HTTPS服务。如果网站A的接入配置中自定义了HTTP 80、8080端口,那么在网站B的接入配置中,最多可以自定义8个不同的HTTPS端口。

      Cname Reuse

      仅DDoS高防(非中国内地)支持配置该参数。选择是否开启CNAME复用。

      该功能适用于同一台服务器上有多个网站业务的场景。开启CNAME复用后,您只需将同一个服务器上多个域名的解析指向同一个高防CNAME地址,即可将多个域名接入高防,无需为每个域名分别添加高防网站配置。更多信息,请参见CNAME复用

    2. 填写转发配置,然后单击下一步

      配置项

      说明

      启用OCSP Stapling

      选择是否启用OCSP Stapling功能。

      重要

      该功能适用于网站HTTPS业务。如果您已选择的协议类型包含HTTPS,推荐启用该功能。

      OCSP表示在线证书状态协议,该协议用于向签发证书的CA(Certificate Authority)中心发起查询请求,检查证书是否被吊销。在与服务器进行TLS握手时,客户端必须同时获取证书和对应的OCSP响应。

      • 未启用(默认):表示由客户端浏览器向CA中心发起OCSP查询。该方式会导致客户端在获得OCSP响应前阻塞后续的事件,在网络情况不佳时,将造成较长时间的页面空白,降低HTTPS的性能。

      • 启用:表示由DDoS高防来执行OCSP查询并缓存查询结果(缓存时间为3600秒)。当有客户端向服务器发起TLS握手请求时,DDoS高防将证书的OCSP信息随证书链一起发送给客户端,从而避免了客户端查询会产生的阻塞问题。由于OCSP响应是无法伪造的,因此这一过程不会产生额外的安全问题。

      cookie设置

      • 下发状态

        默认开启。开启状态时DDoS高防将会在客户端(如浏览器)植入Cookie用于区分统计不同客户端或者获取客户端的指纹信息等。详细介绍,请参见设置CC安全防护

        重要

        如需停止DDoS高防向业务植入Cookie的行为,您可以将开关关闭,但同时DDoS高防也将无法通过CC安全防护策略模块对CC攻击进行主动判断和防护。

      • Secure属性

        默认关闭。如果开启,Cookie只会在HTTPS连接中被发送,而不会在HTTP连接中发送,有助于保护Cookie不被攻击窃取。当网站业务仅支持HTTPS链接时建议开启。

      流量标记

      • 客户端真实源端口

        HTTP Header中客户端真实源端口所在的头部字段名。

        一般情况下使用X-Forwarded-ClientSrcPort字段记录真实的客户端源端口,如果您的业务使用自定义的字段记录真实的客户端源端口,请将Header字段名称设置为您自定义的字段。您可以从高防转发到源站的请求中解析设置的字段,获取客户端使用的真实端口。具体操作与获取客户端真实请求IP类似,更多信息,请参见配置DDoS高防后获取真实的请求来源IP

      • 客户端真实源IP

        HTTP Header中客户端真实源IP所在的头部字段名。

        一般情况下使用X-Forwarded-For字段记录真实的客户端源IP,如果您的业务使用自定义的字段记录真实的客户端源IP,请将Header字段名称设置为您自定义的字段。您可以从高防转发到源站的请求中解析设置的字段,获取客户端使用的真实IP。

      • 自定义Header

        在请求中增加自定义HTTP Header(包含字段名称和字段值)来标记经过DDoS的请求。高防在代理网站流量时,会在转发到源站的请求中添加对应的字段值,方便您后端的服务进行统计分析。

        • 请不要使用以下默认字段作为自定义Header:

          • X-Forwarded-ClientSrcPort:默认被用于获取访问高防七层引擎的客户端端口。

          • X-Forwarded-ProxyPort:默认被用于获取访问高防七层引擎的监听端口。

          • X-Forwarded-For:默认被用于获取访问高防七层引擎的客户端IP。

        • 请不要使用标准HTTP头部字段(例如,host、user-agent、connection、upgrade等)或一些被广泛使用的自定义HTTP头部字段(x-real-ip、x-true-ip、x-client-ip、web-server-type、wl-proxy-client-ip、eagleeye-rpcid、eagleeye-traceid、x-forwarded-cluster、x-forwarded-proto等),否则会导致请求原始头部字段的内容被改写。

        • 除客户端真实源端口和客户端真实源IP外,您最多支持添加5个自定义Header标签。

      回源负载算法

      有多个源站服务器地址(源站IP或源站域名)时需要配置。您可以修改回源负载均衡算法或者为不同服务器设置权重。

      • IP hash:支持设置IP hash的同时为服务器设置权重。使用IP hash保证同一客户端的请求在一段时间内被分配到同一台服务器处理,确保会话的一致性。结合权重模式,根据服务器的处理能力进行权重分配,确保更高性能的服务器处理更多的请求,优化资源利用效率。

      • 轮询:所有请求轮流分配给所有服务器地址。默认所有服务器地址具有相同权重。支持修改服务器权重。服务器权重越大,被分配到请求的可能性越高。

      • Least time:通过智能DNS解析能力和Least time回源算法,保证业务流量将从接入防护节点到转发回源站服务器整个链路的时延最短。

      其他设置

      • 设置新建连接超时时间:DDoS高防尝试建立到源站的连接时,超过该时间连接未建立完成,会被认定为失败。支持设置为1~10秒。

      • 设置读连接超时时间:DDoS高防成功建立连接并向源站发出读取数据请求之后,等待源站返回响应数据的最长时间。支持设置为10~300秒。

      • 设置写连接超时时间:数据从DDoS高防发送出去之后,并由源站开始处理之前,DDoS高防等待的时间长度。超过这段时间,如果DDoS高防还没有成功地将所有数据发送给源站,或者源站没有开始处理数据,会被认定为失败。支持设置为10~300秒。

      • 回源重试:当DDoS高防请求的资源在缓存服务器上没有命中时,缓存服务器将尝试从上一级缓存服务器或源站重新获取该资源。

      • 回源长连接:在缓存服务器与源站之间,使TCP连接在一段时间内保持活跃,而不是每完成一次请求就关闭。开启后可以减少建立连接的时间和资源消耗,提高请求处理的效率与速度。

      • 复用长连接的请求个数:在DDoS高防向源站建立的一个TCP连接中,支持发送的HTTP请求个数,可以减少因频繁建立和关闭连接所带来的延迟和资源消耗。支持设置为10~1000。建议小于等于后端源站(如:WAF、SLB)上配置的长连接请求复用个数,以免长连接关闭造成业务无法访问。

      • 空闲长连接超时时间:DDoS高防向源站建立的一个TCP长连接,在没有数据传输之后,在高防的连接池保持开启状态的最长时间。这个时间段内如果没有新的请求,该连接将被关闭,以释放系统资源。支持设置为10~30秒。建议小于等于后端源站(如:WAF、SLB)上配置的超时时长,以免长连接关闭造成业务无法访问。

      • 设置HTTP2.0 Stream数上限:仅当启用HTTP2时支持设置,表示服务端允许的最大并发流数量。支持设置为16~32,如果您有更高的配置诉求,请联系商务经理。

后续配置

  1. (可选)更换源站ECS服务器的公网IP地址。

    如果您的源站是阿里云ECS服务器,且源站IP地址不慎暴露,您需要更换ECS云服务器的公网IP,防止黑客绕过DDoS高防直接攻击源站。具体操作,请参见更换源站ECS公网IP

  2. 在源站服务器上放行DDoS高防回源IP。

    如果源站服务器上安装了防火墙等安全软件,您需要在源站放行DDoS高防回源IP,避免由高防转发回源站的流量被误拦截。具体操作,请参见放行DDoS高防回源IP

  3. 在本地验证转发配置是否生效。具体操作,请参见本地验证转发配置生效

    警告

    如果转发配置未生效就执行业务切换,将可能导致业务中断。

  4. 修改DNS解析将业务流量切换到DDoS高防。

    添加网站配置后,DDoS高防为网站分配一个CNAME地址,您必须将网站域名的DNS解析指向高防CNAME地址,才可以正式将业务流量切换到高防实例进行防护。具体操作,请参见使用CNAME或IP将网站域名解析到DDoS高防

  5. (可选)配置网站业务DDoS防护策略。

    DDoS高防默认为接入防护的网站开启了DDoS全局防护策略AI智能防护,您还可以在网站业务DDoS防护页签,开启更多防护功能。具体操作,请参见网站业务DDoS防护

    重要

    设置CC安全防护后,可能会被植入Cookie。详细内容,请参见Cookie植入说明

  6. (可选)配置云监控告警。

    针对DDoS高防的常用业务指标(例如,高防IP流量、连接数等)、攻击事件(例如,黑洞、清洗事件)设置告警规则,使云监控在高防上业务发生异常时,及时向您发送告警,帮助您缩短响应时间,尽快恢复业务。具体操作,请参见云监控告警

  7. (可选)配置全量日志服务。

    DDoS高防采集并存储网站业务的全量日志数据,供您进行业务查询与分析。DDoS高防全量日志服务默认存储180天内的网站全量日志,帮助您满足等保合规要求。具体操作,请参见快速使用全量日志分析

更多操作

编辑网站配置

您可以通过编辑操作修改除网站域名以外的配置信息,例如为网站重新关联DDoS高防实例、修改源站IP等。编辑网站配置支持批量操作。

重要

如果您为域名修改DDoS高防实例,为保证业务转发正常,具体操作步骤, 请参考修改域名绑定的DDoS高防实例

  • 编辑单条网站配置

    1. 域名接入页面,定位到目标网站配置,单击操作列的编辑

    2. 在网站配置详情页面,修改除网站域名以外的配置信息,然后单击确定

  • 批量编辑网站配置

    1. 域名接入页面最下方,单击批量修改,在批量修改面板输入修改后的网站配置,然后单击下一步

    2. 导入规则页面,选中要导入的网站配置,然后单击确定

    3. 单击完成,关闭上传完成页面。

删除网站配置

警告

若您的网站不再需要接入DDoS高防,必须先为其恢复域名解析,即确保域名的DNS解析中不再使用高防IP、高防CNAME、流量调度器CNAME作为记录值,然后删除对应的网站配置。若您未恢复网站域名解析就删除网站配置,可能导致业务中断。

  1. 域名接入页面,定位到目标网站配置,单击操作列的删除

  2. 在删除提示对话框中,确认要删除后,单击删除

说明

如果您使用DDoS高防(中国内地)服务,也可以批量删除多个网站配置。勾选要删除的网站配置,单击网站列表下方的批量删除

相关文档

针对业务正常访问期间的延迟问题,DDoS高防还提供流量调度器功能。实现正常业务访问期间流量不经过高防转发,直接达到源站服务器不增加延迟,仅在业务被攻击时切换到高防进行流量转发,帮助业务清洗DDoS攻击。详细内容,请参见流量调度器