非网站业务如何接入DDoS高防 - DDoS 防护

非网站业务（例如客户端应用程序）接入DDoS高防时，需要配置端口转发规则，使业务流量先经过DDoS高防清洗，再转发到源站服务器。本文介绍如何为非网站业务配置端口转发规则。

注意事项

仅DDoS高防（中国内地）支持批量配置规则，DDoS高防（非中国内地）不支持。
仅DDoS高防（中国内地）支持开启应用层防护增强端口开关，开启后可以防护针对非HTTP/HTTPS协议的应用层攻击。
阿里云账号下所有DDoS高防实例释放一个月后，DDoS高防会自动清空该账号下所有高防的域名及端口转发配置。如果您有多个DDoS高防实例，以最后一个实例释放时间开始计算。
购买增强功能套餐的DDoS高防实例时，在您设置完UDP端口转发规则后，DDoS高防会默认屏蔽一些常见的用于UDP反射攻击的端口。通常情况下屏蔽这些端口不会影响正常业务，但如果您的业务涉及其中某个端口，请手动解除屏蔽。详细信息，请参见设置UDP反射攻击防护。
说明
如果您曾经自定义设置过UDP反射攻击防护端口，仍以您自定义的端口为准。

已购买DDoS高防（中国内地）实例或DDoS高防（非中国内地）实例。具体操作，请参见购买DDoS高防实例。

登录DDoS高防控制台。
在顶部菜单栏左上角处，选择地域。
- DDoS高防（中国内地）：选择中国内地地域。
- DDoS高防（非中国内地）：选择非中国内地地域。
在左侧导航栏，选择接入管理 > 端口接入。

选择DDoS高防实例后，单击添加规则，完成规则配置后单击确定。

说明

转发协议后有图标的规则表示配置网站业务时自动生成的规则，用来转发网站业务的流量。不支持手动编辑和删除，当使用该转发规则的所有网站配置取消与当前DDoS高防实例的关联后，规则将会被自动删除。关于如何配置网站业务，请参见添加网站配置。

配置项	说明
应用层防护增强端口	仅TCP协议的业务支持开启，防护针对非HTTP/HTTPS的应用层协议攻击。攻击类型介绍，请参见适合防御的DDoS攻击类型。
转发协议	转发协议类型，可选值：TCP、UDP。
转发端口	DDoS高防实例使用的转发端口。说明为了便于管理，建议您将转发端口与源站端口保持一致。为了防止私自搭建DNS防护服务器，DDoS高防不支持53端口接入配置。同一DDoS高防实例和转发协议下，每条规则的转发端口必须唯一。当您尝试添加同协议+同转发端口的规则时，系统将提示规则冲突。请避免与通过网站配置自动生成的规则冲突。
源站端口	源站使用的业务端口。
回源转发模式	默认为轮询模式，不支持修改。
源站IP	源站的IP地址。说明支持添加多个源站IP以实现自动负载均衡。多个IP间以半角逗号（,）分隔。最多可配置20个源站IP。

批量添加端口转发规则时，不支持开启应用层防护增强端口，如需开启，请先批量新增端口转发规则后，再批量修改应用层防护增强端口开关。

在端口接入页面下方，单击批量操作 > 添加规则。
在添加规则对话框，按照格式要求填入要添加的规则配置，并单击确定。
每行对应一条规则，每条规则包含四个字段，从左到右依次是协议、转发端口、源站端口、源站IP，字段间以空格分隔。
在添加规则对话框，选中要上传的规则，并单击上传。

添加规则后，您还需要放行DDoS高防回源IP、验证本地转发配置生效、将非网站业务的业务流量切换到DDoS高防实例，才能完成非网站业务的接入。

在源站服务器上设置放行DDoS高防的回源IP，避免DDoS高防转发回源站的流量被源站服务器上的安全软件拦截。具体操作，请参见放行DDoS高防回源IP。
通过本地计算机验证规则配置已经生效，避免规则配置不正确导致业务异常。具体操作，请参见本地验证转发配置生效。
警告
如果规则未生效就执行业务切换，将可能导致业务中断。
将非网站业务的业务流量切换到DDoS高防实例。
通常您只需将业务IP替换为DDoS高防实例的独享IP，即可正式将业务流量切换至DDoS高防实例，具体操作请以业务开发平台实际情况为准。
说明
- 如果您的业务同时使用域名来指定服务器地址（例如，游戏客户端中设置example.com域名作为服务器地址，或该域名已经写在客户端程序中），您无需配置域名接入，但需要在域名的DNS解析服务提供商处修改DNS解析，将该域名的A记录指向DDoS高防实例的独享IP。具体操作，请参见修改DNS解析。
- 在某些场景下，您可能需要用域名来接入四层业务，并实现业务关联多高防IP且多高防IP间自动切换流量。这种情况下，推荐您通过添加域名并修改CNAME解析来接入非网站业务。具体操作，请参见CNAME解析接入非网站业务。