日本熟妇hd丰满老熟妇,中文字幕一区二区三区在线不卡 ,亚洲成片在线观看,免费女同在线一区二区

防護網站業務

重要

本文中含有需要您注意的重要提示信息,忽略該信息可能對您的業務造成影響,請務必仔細閱讀。

DDoS高防可防護網站類業務,將網站域名解析到DDoS高防,網站業務流量會先到DDoS高防進行防護,安全流量再由DDoS高防轉發給源站服務器。本文介紹如何快速為網站業務配置DDoS防護。

前提條件

已購買DDoS高防(中國內地)實例或DDoS高防(非中國內地)實例。具體操作,請參見購買DDoS高防實例

步驟一:添加網站配置

使用DDoS高防防護網站業務時,您必須首先在DDoS高防實例中添加要防護的域名,設置業務流量的轉發策略。

  1. 登錄DDoS高防控制臺

  2. 在頂部菜單欄左上角處,選擇地域。

    • DDoS高防(中國內地):選擇中國內地地域。

    • DDoS高防(非中國內地):選擇非中國內地地域。

  3. 在左側導航欄,選擇接入管理 > 域名接入

  4. 域名接入頁面,單擊添加網站

    說明

    您也可以在頁面最下方單擊批量導入,批量導入網站配置。網站配置采用XML文件格式傳入,關于文件格式的詳細介紹,請參見網站配置XML格式說明

    1. 填寫網站接入信息,然后單擊下一步

      配置項

      說明

      功能套餐

      選擇要關聯的DDoS高防實例的功能套餐。可選項:標準功能增強功能

      說明

      將光標放置在功能套餐后的功能套餐說明圖標上,查看標準功能和增強功能套餐的功能差異。更多信息,請參見DDoS高防(中國內地&非中國內地)功能套餐

      實例

      選擇要關聯的DDoS高防實例。

      一個網站域名最多可以關聯8個DDoS高防實例,且只能關聯同一種功能套餐下的實例。

      網站

      填寫要防護的網站域名。具體要求如下:

      • 域名可以由英文字母(a~z、A~Z,不區分大小寫)、數字(0~9)以及短劃線(-)組成。域名的首位必須是字母或數字。

      • 支持填寫泛域名,例如,*.aliyundoc.com。使用泛域名時,DDoS高防自動匹配該泛域名對應的子域名。

      • 如果同時存在泛域名和精確域名配置(例如,*.aliyundoc.comwww.aliyundoc.com),DDoS高防優先使用精確域名(即www.aliyundoc.com)所配置的轉發規則和防護策略。

      說明

      如果您填寫的是一級域名,DDoS高防僅防護您的一級域名,不支持對二級域名等子域名進行防護。如果您要防護二級域名,請輸入二級域名或者泛域名。

      協議類型

      選擇網站支持的協議類型。可選項:

      • HTTP

      • HTTPS:網站支持HTTPS加密認證時,請選中HTTPS協議。并在完成網站配置后上傳網站域名使用的HTTPS證書。關于上傳證書的操作,請參見上傳HTTPS證書。您還可以為網站自定義TLS安全策略。具體操作,請參見自定義TLS安全策略

        選中HTTPS協議后,可以根據需要開啟以下高級設置。

        • 開啟HTTPS的強制跳轉:適用于網站同時支持HTTP和HTTPS協議。開啟該設置后,所有HTTP請求將被強制轉換為HTTPS請求,且默認跳轉到443端口。

          重要
          • 只有同時選中HTTPHTTP協議,并且沒有選中Websocket協議時,才可以開啟該設置。

          • HTTP非標準端口(80以外的端口)訪問的場景下,如果開啟了HTTPS強制跳轉,則訪問默認跳轉到HTTPS 443端口。

        • 開啟HTTP回源:如果網站不支持HTTPS回源,請務必開啟該設置。開啟該設置后,所有HTTPS協議請求將通過HTTP協議回源、所有Websockets協議請求將通過Websocket協議回源,且默認回源端口為80。

          重要

          HTTPS非標準端口(443以外的端口)訪問的場景下,如果開啟了HTTP回源,則訪問默認跳轉到源站HTTP 80端口。

        • 啟用HTTP2:開關開啟表示允許HTTP 2.0協議客戶端接入高防,但此時DDoS高防仍使用HTTP 1.1回源到源站。

          HTTP 2.0功能規格說明

          • 連接關閉后的不活動超時時間(http2_idle_timeout):120s

          • 單連接最大請求數(http2_max_requests):1000

          • 單連接最大并發流(http2_max_concurrent_streams):4

          • HPACK 解壓縮后整個請求頭列表的最大值(http2_max_header_size):256K

          • HPACK 壓縮的請求頭字段的最大值(http2_max_field_size):64K

      • Websocket:選中該協議將自動同時選中HTTP協議,不支持單獨選中Websocket協議。

      • Websockets:選中該協議將自動同時選中HTTPS協議,不支持單獨選中Websockets協議。

      服務器地址

      選擇源站服務器的地址類型,并填寫源站服務器的地址。支持的地址類型包括:

      • 源站IP:表示源站服務器的IP地址。最多支持配置20個源站IP地址,多個IP地址間使用半角逗號(,)分隔。

        • 如果源站在阿里云,一般填寫源站ECS的公網IP地址;如果ECS前面部署了SLB,則填寫SLB的公網IP地址。

        • 如果源站在阿里云外的IDC機房或者其他云服務商,您可以使用ping 域名命令,查詢域名解析到的公網IP地址,并填寫獲取的公網IP。

      • 源站域名:通常適用于源站和高防之間還部署有其他代理服務(例如,Web 應用防火墻 WAF(Web Application Firewall))的場景,表示代理服務的跳轉地址。最多支持配置10個源站域名,多個域名間通過換行分隔。

        例如,您在部署DDoS高防實例后還需要部署WAF,以提升應用安全防護能力,您可以選擇源站域名,并填寫WAF的CNAME地址。更多信息,請參見通過聯合部署DDoS高防和WAF提升網站防護能力

        重要

        如果您設置的源站域名為OSS存儲空間(Bucket)的默認外網訪問域名,則對應存儲空間必須已綁定自定義域名。更多信息,請參見綁定自定義域名

      配置多個服務器地址(源站IP、源站域名)后,DDoS高防默認以IP Hash的方式轉發網站訪問流量至源站,自動實現負載均衡。保存網站配置后,您可以通過回源設置,修改源站負載算法。具體操作,請參見修改回源設置

      服務器端口

      根據協議類型,設置源站提供對應服務的端口。

      • HTTP協議、Websocket協議的端口默認為80。

      • HTTPS協議、HTTP2協議、Websockets協議的端口默認為443。

      您可以單擊自定義,自定義服務器端口,多個端口間使用半角逗號(,)分隔,具體限制如下。

      • 自定義端口必須在可選端口范圍內。

        • 標準功能實例:

          • HTTP協議可選端口:80、8080。

          • HTTPS協議可選端口:443、8443。

        • 增強功能實例:

          • HTTP協議可選端口范圍:80~65535。

          • HTTPS協議可選端口范圍:80~65535。

      • 所有接入DDoS高防實例防護的網站業務下自定義的不同端口(包含不同協議下的自定義端口)的總數不能超過10個。

        例如,您有2個網站(A和B),網站A提供HTTP服務、網站B提供HTTPS服務。如果網站A的接入配置中自定義了HTTP 80、8080端口,那么在網站B的接入配置中,最多可以自定義8個不同的HTTPS端口。

      Cname Reuse

      僅DDoS高防(非中國內地)支持配置該參數。選擇是否開啟CNAME復用。

      該功能適用于同一臺服務器上有多個網站業務的場景。開啟CNAME復用后,您只需將同一個服務器上多個域名的解析指向同一個高防CNAME地址,即可將多個域名接入高防,無需為每個域名分別添加高防網站配置。更多信息,請參見CNAME復用

    2. 填寫轉發配置,然后單擊下一步

      配置項

      說明

      啟用OCSP Stapling

      選擇是否啟用OCSP Stapling功能。

      重要

      該功能適用于網站HTTPS業務。如果您已選擇的協議類型包含HTTPS,推薦啟用該功能。

      OCSP表示在線證書狀態協議,該協議用于向簽發證書的CA(Certificate Authority)中心發起查詢請求,檢查證書是否被吊銷。在與服務器進行TLS握手時,客戶端必須同時獲取證書和對應的OCSP響應。

      • 未啟用(默認):表示由客戶端瀏覽器向CA中心發起OCSP查詢。該方式會導致客戶端在獲得OCSP響應前阻塞后續的事件,在網絡情況不佳時,將造成較長時間的頁面空白,降低HTTPS的性能。

      • 啟用:表示由DDoS高防來執行OCSP查詢并緩存查詢結果(緩存時間為3600秒)。當有客戶端向服務器發起TLS握手請求時,DDoS高防將證書的OCSP信息隨證書鏈一起發送給客戶端,從而避免了客戶端查詢會產生的阻塞問題。由于OCSP響應是無法偽造的,因此這一過程不會產生額外的安全問題。

      流量標記

      • 獲取客戶端真實源端口

        打開該開關后,高防在代理網站流量時,默認使用X-Forwarded-ClientSrcPort字段記錄真實的客戶端源端口。您可以從高防轉發到源站的請求中解析X-Forwarded-ClientSrcPort字段,獲取客戶端使用的真實端口。具體操作與獲取客戶端真實請求IP類似,更多信息,請參見配置DDoS高防后獲取真實的請求來源IP

      • 其他自定義Header

        添加自定義Header字段后,高防在代理網站流量時,會在轉發到源站的請求中添加對應的字段值,方便您后端的服務進行統計分析。

        添加自定義Header注意事項:

        • 請不要使用以下默認字段作為自定義Header:

          • X-Forwarded-ClientSrcPort:默認被用于獲取訪問高防七層引擎的客戶端端口。

          • X-Forwarded-ProxyPort:默認被用于獲取訪問高防七層引擎的監聽端口。

        • 請不要使用標準HTTP頭部字段(例如,user-agent等),否則會導致請求原始頭部字段的內容被改寫。

        • 最多支持添加5個自定義Header。

      回源負載算法

      有多個源站服務器地址(源站IP或源站域名)時需要配置。您可以修改回源負載均衡算法或者為不同服務器設置權重。

      其他設置

      • 設置新建連接超時時間:DDoS高防嘗試建立到源站的連接時,超過該時間連接未建立完成,會被認定為失敗。支持設置為1~10秒。

      • 設置讀連接超時時間:DDoS高防成功建立連接并向源站發出讀取數據請求之后,等待源站返回響應數據的最長時間。支持設置為10~300秒。

      • 設置寫連接超時時間:數據從DDoS高防發送出去之后,并由源站開始處理之前,DDoS高防等待的時間長度。超過這段時間,如果DDoS高防還沒有成功地將所有數據發送給源站,或者源站沒有開始處理數據,會被認定為失敗。支持設置為10~300秒。

      • 回源重試:當DDoS高防請求的資源在緩存服務器上沒有命中時,緩存服務器將嘗試從上一級緩存服務器或源站重新獲取該資源。

      • 回源長連接:在緩存服務器與源站之間,使TCP連接在一段時間內保持活躍,而不是每完成一次請求就關閉。開啟后可以減少建立連接的時間和資源消耗,提高請求處理的效率與速度。

      • 復用長連接的請求個數:在DDoS高防向源站建立的一個TCP連接中,支持發送的HTTP請求個數,可以減少因頻繁建立和關閉連接所帶來的延遲和資源消耗。支持設置為10~1000。建議小于等于后端源站(如:WAF、SLB)上配置的長連接請求復用個數,以免長連接關閉造成業務無法訪問。

      • 空閑長連接超時時間:DDoS高防向源站建立的一個TCP長連接,在沒有數據傳輸之后,在高防的連接池保持開啟狀態的最長時間。這個時間段內如果沒有新的請求,該連接將被關閉,以釋放系統資源。支持設置為10~30秒。建議小于等于后端源站(如:WAF、SLB)上配置的超時時長,以免長連接關閉造成業務無法訪問。

步驟二:將網站業務流量切換到DDoS高防

網站的訪問流量需要先經過DDoS高防清洗再轉發到源站服務器,實現由DDoS高防實例幫助網站防御DDoS攻擊流量。

  1. 在源站服務器上放行DDoS高防回源IP。

    如果源站服務器上安裝了防火墻等安全軟件,您需要在源站放行DDoS高防回源IP,避免由高防轉發回源站的流量被誤攔截。具體操作,請參見放行DDoS高防回源IP

  2. 在本地驗證轉發配置是否生效。具體操作,請參見本地驗證轉發配置生效

    警告

    如果轉發配置未生效就執行業務切換,將可能導致業務中斷。

  3. 修改DNS解析將業務流量切換到DDoS高防。

    添加網站配置后,DDoS高防為網站分配一個CNAME地址,您必須將網站域名的DNS解析指向高防CNAME地址,才可以正式將業務流量切換到高防實例進行防護。具體操作,請參見使用CNAME或IP將網站域名解析到DDoS高防

步驟三:設置網站業務防護策略

DDoS高防默認為接入防護的網站開啟了DDoS全局防護策略AI智能防護頻率控制防護功能,您可以在網站業務DDoS防護頁簽,為網站開啟更多的防護功能或修改防護功能的規則。

  1. 在左側導航欄,選擇接入管理 > 域名接入

  2. 域名接入頁面,定位到目標域名,單擊操作列的防護設置

  3. 網站業務DDoS防護頁簽下,根據需要為目標域名設置DDoS防護策略。

    配置項

    說明

    AI智能防護

    默認開啟,由智能大數據分析引擎自學習業務流量基線,發現并阻斷新型CC攻擊,在流量異常時,基于歷史流量分布,動態調整各執行模塊策略阻斷異常請求。支持手動修改防護模式和等級。更多信息,請參見設置AI智能防護

    DDoS全局防護策略

    默認開啟,DDoS防護引擎根據流量清洗力度,為接入高防防護的網站業務提供三套內置的全局防護策略,幫助業務在攻擊發生的瞬間快速應對脈沖式攻擊,提高響應及時性。更多信息,請參見設置DDoS全局防護策略

    黑/白名單(針對域名)

    開啟針對域名的訪問源IP黑白名單后,黑名單IP/IP段對域名的訪問請求將會被直接阻斷,白名單IP/IP段對域名的訪問請求將被直接放行,且不經過任何防護策略過濾。更多信息,請參見設置黑白名單(針對域名)

    區域封禁(針對域名)

    一鍵阻斷來自指定地區來源IP的所有網站訪問請求。更多信息,請參見設置區域封禁(針對域名)

    精準訪問控制

    使用常見的HTTP字段(例如IP、URL、Referer、UA、參數等)設置匹配條件,用來篩選訪問請求,并對命中條件的請求設置放行、封禁、挑戰操作。更多信息,請參見設置CC安全防護

    頻率控制

    默認開啟,限制單一源IP對網站的訪問頻率。頻率控制開啟后自動生效,且默認使用正常防護模式,幫助網站防御一般的CC攻擊。支持手動調整防護模式和自定義訪問頻率控制規則。更多信息,請參見設置頻率控制

步驟四:查看網站業務防護數據

網站業務接入DDoS高防后,您可以在DDoS高防控制臺使用安全報表和日志功能查看業務防護數據。

  1. 安全總覽頁面,查看實例和域名的業務數據以及遭受的DDoS攻擊詳情。更多信息,請參見安全總覽

  2. 操作日志頁面,查看重要操作記錄。更多信息,請參見操作日志

  3. 全量日志分析頁面,查看網站業務的日志。更多信息,請參見快速使用全量日志分析

    說明

    DDoS高防全量日志分析是增值服務,需要單獨開通并啟用。開通全量日志分析后,阿里云日志服務將對接DDoS高防的網站訪問日志和CC攻擊日志,并對采集到的日志數據進行實時檢索與分析,以儀表盤形式向您展示查詢結果。更多信息,請參見什么是日志服務

相關文檔