网站域名接入DDoS高防后,您需要将网站的DNS解析指向DDoS高防生成的CNAME地址,以启用DDoS攻击防护。本文将引导您完成从快速接入到高级配置的全过程,并确保业务平滑切换。
适用范围
已购买DDoS高防(中国内地)实例或DDoS高防(非中国内地)实例。具体操作,请参见购买DDoS高防实例。
如果网站业务要接入DDoS高防(中国内地)实例,网站域名必须已经完成ICP备案。更多信息,请参见备案说明。
说明DDoS高防(非中国内地)的网站没有ICP备案的限制。
操作步骤
登录DDoS高防控制台的域名接入页面。
在顶部菜单栏左上角处,根据DDoS高防产品选择地域。
DDoS高防(中国内地):选择中国内地地域。
DDoS高防(非中国内地):选择非中国内地地域。
在域名接入页面,单击添加网站。
说明也可以在页面最下方单击批量导入,批量导入网站配置。网站配置采用XML文件格式传入,关于文件格式的详细介绍,请参见其他操作。
填写网站接入信息,然后单击下一步。
基础配置
功能套餐:选择要关联的DDoS高防实例的功能套餐。可选项:标准功能、增强功能。
说明将光标放置在功能套餐后的
图标上,查看标准功能和增强功能套餐的功能差异。更多信息,请参见标准功能和增强功能的差异。实例:选择要关联的DDoS高防实例。
重要一个网站域名最多可以关联8个DDoS高防实例,且只能关联同一种功能套餐下的实例。
网站:填写要防护的网站域名,支持精确域名(如
www.example.com)和泛域名(如*.example.com)。说明如果同时存在泛域名和精确域名配置(例如,
*.aliyundoc.com和www.aliyundoc.com),DDoS高防优先使用精确域名(即www.aliyundoc.com)所配置的转发规则和防护策略。如果填写的是一级域名,仅防护一级域名,不支持对二级域名等子域名进行防护。如果您要防护二级域名,请输入二级域名或者泛域名。
仅支持配置为域名,不支持填写网站IP。
协议类型:选择网站支持的协议。
HTTP / HTTPS:Web网站的基础协议。
说明HTTPS相关配置,请参见HTTPS配置页签说明。
Websocket / Websockets:实时通信协议,选中后会自动关联HTTP/HTTPS。
服务器地址:设置DDoS高防回源时请求的后端服务器(即源站服务器)地址。
源站IP:填写源站服务器的公网IP地址,支持多个IP,用半角逗号(,)分隔。填写实例如下:
源站在阿里云:一般填写源站ECS的公网IP地址。如果ECS前面部署了SLB,则填写SLB的公网IP地址。
源站在阿里云外的IDC机房或者其他云服务商:使用
ping 域名命令,查询域名解析到的公网IP地址,并填写获取的公网IP。
源站域名:
适用场景:适用于源站和高防之间配置了其他代理服务的场景。填写示例如下:
如前置代理为WAF,可填写WAF的CNAME地址。更多信息,请参见通过联合部署DDoS高防和WAF提升网站防护能力。
如果设置的源站域名为OSS存储空间(Bucket)的默认外网访问域名,则对应存储空间必须已绑定自定义域名。更多信息,请参见绑定自定义域名。
填写限制:最多支持配置10个源站域名,多个域名间通过换行分隔。
服务器端口:设置源站服务器上监听网站服务的端口。
HTTP/Websocket :默认端口为 80。
HTTPS/Websockets: 默认端口为 443。
自定义服务器端口:
多端口设置:支持多个端口,用半角逗号(,)分隔。所有接入DDoS高防实例防护的网站业务下自定义的不同端口(包含不同协议下的自定义端口)的总数不能超过10个。
端口范围(HTTP/HTTPS):80~65535
HTTPS配置
网站支持的协议选择HTTPS加密认证时,请完成以下配置。
配置证书:启用HTTPS必须配置与网站域名匹配的SSL证书。
手动上传:填写证书名称,并将证书文件和私钥文件中的文本内容分别复制粘贴到证书文件和私钥文件框中。
说明对于PEM、CER、CRT格式的证书,您可以使用文本编辑器直接打开证书文件,复制其中的文本内容。对于其他格式(例如,PFX、P7B等)的证书,您需要将证书文件转换成PEM格式后,才能用文本编辑器打开并复制其中的文本内容。关于证书格式的转换方式,请参见证书格式转换或HTTPS证书转换成PEM格式。
如果该HTTPS证书有多个证书文件(例如,证书链),您需要将证书链中的文本内容拼接合并后粘贴至证书文件中。
选择已有证书:通过阿里云数字证书管理服务(Certificate Management Service)申请的证书,或者您已将证书上传到数字证书管理服务,可以直接选择证书。
配置TLS安全策略:
说明更多说明,请参见自定义服务器HTTPS证书的TLS安全策略。
HTTPS证书TLS版本:选择国际标准HTTPS证书支持的TLS协议版本。
支持TLS1.0及以上版本,兼容性最好,安全性较低:支持TLS 1.0、TLS 1.1和TLS 1.2。
支持TLS1.1及以上版本,兼容性较好,安全性较好:支持TLS 1.1和TLS 1.2。
支持TLS1.2及以上版本,兼容性较好,安全性很高:支持TLS 1.2。
开启支持TLS1.3:支持TLS1.3。
HTTPS证书加密套件:选择国际标准HTTPS证书支持的加密套件,或自定义加密套件。将光标放置在某个加密套件选项上的
图标,查看该选项包含的加密套件。
启用双向认证:
阿里云签发:在请选择默认CA证书下拉框中选择,通过阿里云数字证书管理服务(Certificate Management Service)签发的CA证书。
非阿里云签发:
请先将自签名CA证书上传至数字证书管理服务(Certificate Management Service)。具体操作,请参见上传证书仓库(上传证书)。
在请选择默认CA证书下拉框中选择上传的自签CA证书。
启用OCSP Stapling:OCSP表示在线证书状态协议,用于向签发服务端证书的CA(Certificate Authority)中心发起查询请求,检查证书是否被吊销。在与服务器进行TLS握手时,客户端必须同时获取证书和对应的OCSP响应。
重要OCSP 响应经由 CA 数字签名,无法伪造,因此启用此功能不会引入额外的安全风险。
未启用(默认):客户端在 TLS 握手请求时自行向 CA 中心发起 OCSP查询,以验证证书是否被吊销。此过程会阻塞连接,在网络不佳时可能导致页面加载延迟。
启用:由DDoS高防来执行OCSP查询并缓存查询结果(缓存时间为3600秒)。当有客户端向服务器发起TLS握手请求时,DDoS 高防会将缓存的 OCSP 响应随证书链一同发送给客户端,从而避免客户端查询所产生的阻塞问题,从而提升 HTTPS 性能。
国密HTTPS:仅DDoS高防(中国内地)实例支持上传国密标准HTTPS证书,证书算法仅支持SM2。
仅支持国密客户端访问:默认关闭。
开启:仅处理安装国密标准证书的客户端发来的请求。
说明开启后国际标准HTTPS证书对应的TLS套件、双向认证及OCSP Stapling功能配置将不会生效。
关闭:处理安装国密标准证书的客户端,以及安装国际标准证书的客户端发来的请求。
国密HTTPS证书:您需要先将证书上传到数字证书管理服务,才能在此处选择。
国密HTTPS加密套件:默认启用如下加密套件,不支持修改。
ECC-SM2-SM4-CBC-SM3
ECC-SM2-SM4-GCM-SM3
ECDHE-SM2-SM4-CBC-SM3
ECDHE-SM2-SM4-GCM-SM3
高级设置
开启HTTPS的强制跳转:适用于网站同时支持HTTP和HTTPS协议。开启该设置后,所有HTTP请求将被强制转换为HTTPS请求,且默认跳转到443端口。
重要只有同时选中HTTP和HTTPS协议,并且没有选中Websocket协议时,才可以开启该设置。
HTTP非标准端口(80以外的端口)访问的场景下,如果开启了HTTPS强制跳转,则访问默认跳转到HTTPS 443端口。
HTTP2监听:开关开启表示允许HTTP 2.0协议客户端接入高防,但此时DDoS高防仍使用HTTP 1.1回源到源站。HTTP 2.0功能规格说明如下:
基础规格:
连接关闭后的不活动超时时间(http2_idle_timeout):120s
单连接最大请求数(http2_max_requests):1000
单连接最大并发流(http2_max_concurrent_streams):4
HPACK 解压缩后整个请求头列表的最大值(http2_max_header_size):256K
HPACK 压缩的请求头字段的最大值(http2_max_field_size):64K
可设置规格:支持设置HTTP2.0 Stream数上限,即客户端与DDoS高防间允许的最大并发流数量。
设置前向长连接超时时间:客户端与DDoS高防之间建立的 TCP 长连接,设置该连接的空闲超时时间(两次客户端请求之间的最大等待时间)。
说明若在设定时间内无新请求,DDoS高防将主动关闭连接以释放资源。
填写转发配置,然后单击下一步。
回源设置
回源负载算法:当配置了多个源站IP或源站域名时,可通过修改回源负载均衡算法或者为不同服务器设置权重,决定流量在多个源站间的分配方式。
方案
适用场景
机制说明
轮询(默认)
多源站且对源站负载均匀要求较高的场景。
所有请求轮流分配给所有服务器地址,默认所有服务器地址具有相同权重。支持修改服务器权重,服务器权重越大,被分配到请求的可能性越高。
IP hash
需要保持用户会话一致性的场景,极端情况下可能存在负载不均衡。
将来自同一客户端IP的请求始终定向到同一台源站服务器,以保证会话一致性。支持设置IP hash的同时为服务器设置权重,根据服务器的处理能力进行权重分配,可将流量优先导向性能更强的服务器。
Least time
对访问速度和响应延迟极其敏感的业务(如游戏、在线交易)。
通过智能DNS解析能力和Least time回源算法,保证业务流量从接入防护节点到转发回源站服务器整个链路的时延最短。
回源重试:表示对域名转发源站的可用性进行健康检查的探测次数,默认值3。回源重试机制如下:
仅当业务流量访问高防节点时触发回源重试功能,当高防节点检测到域名源站不可用时会进行回源重试。
超过重试次数仍然不可达时将进入静默状态,不再对该源站进行流量转发和探测。
静默结束后重新根据业务流量触发回源重试功能。如果回源重试成功,则对源站重新拉起。
流量标记:
请求头字段转发配置:DDoS高防支持请求头转发配置功能,可以在转发请求到源站时添加或修改HTTP请求头信息,帮助识别和标记通过高防的流量。
插入 X-Client-IP 获取真实IP:用于传递客户端真实原始的IP地址。
插入 X-True-IP 获取建连IP:用于传递客户端建立连接的IP地址。
插入 Web-Server-Type 获取服务类型:通常由第一个代理添加,用于告知后端服务器处理当前请求的前端Web服务器或代理类型。
插入 WL-Proxy-Client-IP 获取建连IP:功能与X-Client-IP相同,为 Oracle WebLogic Server 特有的请求头。
插入 X-Forwarded-Proto 获取监听协议:客户端与第一个代理之间建立连接所使用的协议。
流量标记
默认标记
说明JA3指纹、JA4指纹、客户端TLS指纹、HTTP2.0指纹需联系商务经理配置。
如果业务使用自定义字段代替默认标记,请参考下文自定义Header。配置后,从高防转发到源站的请求中解析该字段,解析示例请参见配置DDoS高防后获取真实的请求来源IP。
客户端真实源端口:HTTP Header中客户端真实源端口所在的头部字段名,通常使用
X-Forwarded-ClientSrcPort字段记录。客户端真实源IP:HTTP Header中客户端真实源IP所在的头部字段名,通常使用
X-Forwarded-For字段记录。JA3指纹:HTTP Header中客户端JA3指纹的MD5哈希值所在的头部字段名,通常使用
ssl_client_ja3_fingerprinting_md5字段记录。JA4指纹:HTTP Header中客户端JA4指纹MD5哈希值所在的头部字段名,通常使用
ssl_client_ja4_fingerprinting_md5字段记录。客户端TLS指纹:HTTP Header中客户端TLS指纹的MD5哈希值所在的头部字段名,通常使用
ssl_client_tls_fingerprinting_md5字段记录。HTTP2.0指纹:HTTP Header中客户端HTTP2.0指纹的MD5哈希值所在的头部字段名,通常使用
http2_client_fingerprint_md5字段记录
自定义Header:在请求中增加自定义HTTP Header(包含字段名称和字段值)来标记经过DDoS的请求。高防在代理网站流量时,会在转发到源站的请求中添加对应的字段值,方便后端服务进行统计分析。
命名限制:为避免关联请求原始头部字段的内容被改写,自定义Header的字段名(Key)不得使用以下保留或常用字段:
高防默认字段:
X-Forwarded-ClientSrcPort:默认被用于获取访问高防七层引擎的客户端端口。X-Forwarded-ProxyPort:默认被用于获取访问高防七层引擎的监听端口。X-Forwarded-For:默认被用于获取访问高防七层引擎的客户端IP。ssl_client_ja3_fingerprinting_md5:默认被用于获取客户端JA3指纹MD5哈希值。ssl_client_ja4_fingerprinting_md5:默认被用于获取客户端JA4指纹MD5哈希值。ssl_client_tls_fingerprinting_md5:默认被用于获取客户端TLS指纹的MD5哈希值。http2_client_fingerprint_md5:默认被用于获取客户端HTTP2.0指纹的MD5哈希值。
标准HTTP字段:如host、user-agent、connection、upgrade等。
常见代理字段:如x-real-ip、x-true-ip、x-client-ip、web-server-type、wl-proxy-client-ip、eagleeye-rpcid、eagleeye-traceid、x-forwarded-cluster、x-forwarded-proto等被广泛使用的自定义HTTP头部字段。
数量限制:最多支持添加5个自定义Header标签。
配置建议:
请优先使用默认标记。
建议先在测试环境验证header字段配置效果后再应用到生产环境。
字段值长度建议控制在100字符以内,避免影响转发性能。
Cname Reuse:选择是否开启CNAME复用。开启CNAME复用后,只需将同一个服务器上多个域名的解析指向同一个高防CNAME地址,即可将多个域名接入高防,无需为每个域名分别添加高防网站配置。更多信息,请参见CNAME复用。
重要仅DDoS高防(非中国内地)支持配置该参数。
其他设置
开启HTTP回源:如果网站不支持HTTPS回源,请务必开启该设置。开启该设置后,所有HTTPS协议请求将通过HTTP协议回源、所有Websockets协议请求将通过Websocket协议回源,且默认回源端口为80。
说明HTTPS非标准端口(443以外的端口)访问的场景下,如果开启了HTTP回源,则访问默认跳转到源站HTTP 80端口。
HTTP2.0回源:启用HTTP2.0回源后,DDoS将通过HTTP2.0协议向源站回源。
警告此功能配置,需联系商务经理开通。
若源站不支持HTTP2.0,请勿配置,否则网站无法访问。
cookie设置
下发状态:默认开启。DDoS高防将会在客户端(如浏览器)植入Cookie用于区分统计不同客户端或者获取客户端的指纹信息等。详细介绍,请参见设置CC安全防护。
重要如果应用在接入高防后出现登录闪退或会话丢失问题,可以尝试关闭此开关。但请注意,关闭后部分CC防护功能将无法生效。
Secure属性:默认关闭。若开启,Cookie只会在HTTPS连接中被发送,而不会在HTTP连接中发送,有助于保护Cookie不被攻击窃取。
说明当网站业务仅支持HTTPS链接时建议开启。
设置新建连接超时时间:DDoS高防尝试建立到源站的连接时间。
说明超过该时间连接未建立完成,会被认定为失败。
设置读连接超时时间:DDoS高防成功建立连接并向源站发出读取数据请求之后,等待源站返回响应数据的最长时间。
设置写连接超时时间:数据从DDoS高防发送出去之后,并由源站开始处理之前,DDoS高防等待的时间长度。
说明超过这段时间,如果DDoS高防还没有成功地将所有数据发送给源站,或者源站没有开始处理数据,会被认定为失败。
回源长连接:由于在缓存服务器与源站之间,TCP连接在一段时间内保持活跃,而不是每完成一次请求就关闭,从而造成资源浪费。开启回源长连接后可减少建立连接的时间和资源消耗,提高请求处理的效率与速度。
复用长连接的请求个数:在DDoS高防向源站建立的一个TCP连接中,支持发送的HTTP请求个数,可以减少因频繁建立和关闭连接所带来的延迟和资源消耗。
说明建议小于等于后端源站(如:WAF、SLB)上配置的长连接请求复用个数,以免长连接关闭造成业务无法访问。
空闲长连接超时时间:DDoS高防向源站建立的一个TCP长连接,在没有数据传输之后,在高防的连接池保持开启状态的最长时间。这个时间段内如果没有新的请求,该连接将被关闭,以释放系统资源。
说明建议小于等于后端源站(如:WAF、SLB)上配置的超时时长,以免长连接关闭造成业务无法访问。
验证与上线
完成网站配置后,请务必遵循以下清单进行验证和上线,以避免业务中断。
核心操作(必选)
放行回源IP: 在源站服务器的安全策略(如防火墙、安全组)中,将DDoS高防的回源IP段放行(白名单),避免由高防转发回源站的流量被误拦截。具体操作,请参见放行DDoS高防回源IP。
本地验证配置: 在切换DNS解析前,通过修改本地
hosts文件等方式,验证高防转发配置是否按预期工作,以规避业务中断风险。具体操作,请参见本地验证转发配置生效。切换DNS解析: 本地验证成功后,将网站域名的DNS解析记录修改为高防提供的CNAME地址。此操作将正式把业务流量切换至高防进行防护。具体操作,请参见使用CNAME或IP将网站域名解析到DDoS高防。
可选操作
更换源站IP:如果源站是阿里云ECS服务器,且源站IP地址不慎暴露,建议更换ECS云服务器的公网IP,防止黑客绕过DDoS高防直接攻击源站。具体操作,请参见固定公网IP。
配置DDoS策略:在DDoS高防默认防护策略(DDoS全局防护策略、AI智能防护、频率控制)基础上,可在网站业务DDoS防护页签,按需开启更多防护功能。具体操作,请参见网站业务DDoS防护。
重要启用CC安全防护策略可能会向客户端植入Cookie。详细内容,请参见Cookie植入说明。
配置云监控告警:针对DDoS高防的常用业务指标(例如,高防IP流量、连接数等)、攻击事件(例如,黑洞、清洗事件)设置告警规则,当高防上业务发生异常时,及时发送告警,帮助实现异常事件的快速响应。具体操作,请参见云监控告警。
配置全量日志服务:开启日志服务以采集并存储网站访问日志(默认180天),用于业务分析及满足等保合规要求。具体操作,请参见快速使用全量日志分析。
配额与限制
一个网站域名最多可以关联8个DDoS高防实例。
一个DDoS高防实例下的所有网站配置,自定义端口(非80/443)总数不能超过10个。
最多支持添加5个自定义Header标签。
参考信息
备案说明
网站配置删除
若不再需要相关网站配置,可参考如下说明删除相关配置数据:
恢复域名解析:将域名的DNS解析记录值修改为不再指向高防IP、高防CNAME或流量调度器CNAME。
警告若未先恢复域名解析便删除网站配置,可能导致业务中断。
删除网站配置
手动删除:在域名接入页面,单击目标配置单击操作列的删除。更多操作说明,请参考删除网站配置。
自动删除:当前账号下最后一个DDoS高防实例释放满一个月后,系统会自动清空该账号下所有高防的域名及端口转发配置。
常见问题
配置完成后,网站访问出现502/504错误,是什么原因?
这通常是回源失败导致。请按以下顺序排查:
检查源站防火墙/安全组:确认是否已将DDoS高防的回源IP段添加到白名单。
检查“HTTP回源”配置:如果源站只支持HTTP(监听80端口),但在DDoS高防上配置了HTTPS且未开启“HTTP回源”,就会导致回源失败。
检查源站状态:确认填写的源站IP是否正确,以及源站服务器本身是否运行正常。
启用HTTPS后,浏览器提示证书错误?
请检查以下几点:
证书与域名不匹配:确保证书覆盖了您接入的域名,包括
www和根域名。例如,为www.example.com接入的证书,不能用于example.com,除非是通配符证书或多域名证书。证书链不完整:上传证书时,请确保将完整的证书链(服务器证书 + 中间CA证书)拼接后上传。
证书已过期:检查您上传的证书是否在有效期内。
如何确认网站流量已经经过DDoS高防?
DNS查询:在命令行执行
ping <您的域名>或dig <您的域名>,查看解析出的地址是否为DDoS高防的CNAME地址或其指向的IP。控制台报表:在DDoS高防控制台的报表页面,查看是否有流入的流量数据。
源站日志:检查您源站服务器的Web访问日志,确认请求的来源IP是否属于DDoS高防的回源IP段。
应用日志里只记录了DDoS高防的IP,如何获取真实的访客IP?
这是正常现象。DDoS高防作为代理,会使用其回源IP访问您的源站。为了获取真实访客IP,您需要在Web服务器(如Nginx、Apache)上进行配置,从
X-Forwarded-For请求头中提取IP地址。具体配置方法,请参见配置DDoS高防后获取真实的请求来源IP。