添加網(wǎng)站配置
本文中含有需要您注意的重要提示信息,忽略該信息可能對您的業(yè)務造成影響,請務必仔細閱讀。
將網(wǎng)站域名配置到DDoS高防后,DDoS高防會為網(wǎng)站生成一個CNAME地址,您需要將網(wǎng)站域名的DNS解析指向高防CNAME地址,DDoS高防才能轉(zhuǎn)發(fā)業(yè)務流量為網(wǎng)站防御DDoS攻擊。本文介紹如何添加網(wǎng)站配置。
注意事項
接入DDoS高防(中國內(nèi)地)的網(wǎng)站必須經(jīng)過ICP備案,接入DDoS高防(非中國內(nèi)地)的網(wǎng)站沒有ICP備案的限制。
DDoS高防(中國內(nèi)地)會定期查詢已接入防護的網(wǎng)站域名的備案狀態(tài),備案失效時DDoS高防(中國內(nèi)地)會停止相關業(yè)務的流量轉(zhuǎn)發(fā),并在域名接入頁面提示“域名未履行ICP備案,請您及時更新備案狀態(tài)”。出現(xiàn)提示時,如果您需要恢復業(yè)務流量轉(zhuǎn)發(fā),必須及時更新域名的備案狀態(tài)。
如果您的高防回源站點為阿里云產(chǎn)品時,需要同時滿足高防及回源產(chǎn)品的備案要求,否則將影響回源流量轉(zhuǎn)發(fā),具體請查看各云產(chǎn)品的官網(wǎng)文檔或咨詢技術支持人員。例如源站服務器是ECS時,您需要為ECS開通ICP備案,具體請參見ICP備案服務器檢查和ICP備案流程。
您同賬號下所有高防實例釋放一個月后,高防會自動清空該賬號下所有高防的域名及端口轉(zhuǎn)發(fā)配置。如果您有多個高防實例,以最后一個實例釋放時間開始計算。
前提條件
已購買DDoS高防(中國內(nèi)地)實例或DDoS高防(非中國內(nèi)地)實例。具體操作,請參見購買DDoS高防實例。
如果網(wǎng)站業(yè)務要接入DDoS高防(中國內(nèi)地)實例,網(wǎng)站域名必須已經(jīng)完成ICP備案。更多信息,請參見ICP備案流程。
添加網(wǎng)站配置
登錄DDoS高防控制臺。
在頂部菜單欄左上角處,選擇地域。
DDoS高防(中國內(nèi)地):選擇中國內(nèi)地地域。
DDoS高防(非中國內(nèi)地):選擇非中國內(nèi)地地域。
在左側(cè)導航欄,選擇。
在域名接入頁面,單擊添加網(wǎng)站。
說明您也可以在頁面最下方單擊批量導入,批量導入網(wǎng)站配置。網(wǎng)站配置采用XML文件格式傳入,關于文件格式的詳細介紹,請參見網(wǎng)站配置XML格式說明。
填寫網(wǎng)站接入信息,然后單擊下一步。
配置項
說明
功能套餐
選擇要關聯(lián)的DDoS高防實例的功能套餐。可選項:標準功能、增強功能。
說明將光標放置在功能套餐后的
圖標上,查看標準功能和增強功能套餐的功能差異。更多信息,請參見DDoS高防(中國內(nèi)地&非中國內(nèi)地)功能套餐。實例
選擇要關聯(lián)的DDoS高防實例。
一個網(wǎng)站域名最多可以關聯(lián)8個DDoS高防實例,且只能關聯(lián)同一種功能套餐下的實例。
網(wǎng)站
填寫要防護的網(wǎng)站域名。具體要求如下:
域名可以由英文字母(a~z、A~Z,不區(qū)分大小寫)、數(shù)字(0~9)以及短劃線(-)組成。域名的首位必須是字母或數(shù)字。
支持填寫泛域名,例如,
*.aliyundoc.com。使用泛域名時,DDoS高防自動匹配該泛域名對應的子域名。如果同時存在泛域名和精確域名配置(例如,
*.aliyundoc.com和www.aliyundoc.com),DDoS高防優(yōu)先使用精確域名(即www.aliyundoc.com)所配置的轉(zhuǎn)發(fā)規(guī)則和防護策略。
說明如果您填寫的是一級域名,DDoS高防僅防護您的一級域名,不支持對二級域名等子域名進行防護。如果您要防護二級域名,請輸入二級域名或者泛域名。
僅支持配置為域名,不支持填寫網(wǎng)站IP。
協(xié)議類型
選擇網(wǎng)站支持的協(xié)議類型。可選項:
HTTP
HTTPS:網(wǎng)站支持HTTPS加密認證時,請選中HTTPS協(xié)議。并在完成網(wǎng)站配置后上傳網(wǎng)站域名使用的HTTPS證書。關于上傳證書的操作,請參見上傳HTTPS證書。您還可以為網(wǎng)站自定義TLS安全策略。具體操作,請參見自定義TLS安全策略。
選中HTTPS協(xié)議后,可以根據(jù)需要開啟以下高級設置。
開啟HTTPS的強制跳轉(zhuǎn):適用于網(wǎng)站同時支持HTTP和HTTPS協(xié)議。開啟該設置后,所有HTTP請求將被強制轉(zhuǎn)換為HTTPS請求,且默認跳轉(zhuǎn)到443端口。
重要只有同時選中HTTP和HTTP協(xié)議,并且沒有選中Websocket協(xié)議時,才可以開啟該設置。
HTTP非標準端口(80以外的端口)訪問的場景下,如果開啟了HTTPS強制跳轉(zhuǎn),則訪問默認跳轉(zhuǎn)到HTTPS 443端口。
開啟HTTP回源:如果網(wǎng)站不支持HTTPS回源,請務必開啟該設置。開啟該設置后,所有HTTPS協(xié)議請求將通過HTTP協(xié)議回源、所有Websockets協(xié)議請求將通過Websocket協(xié)議回源,且默認回源端口為80。
重要HTTPS非標準端口(443以外的端口)訪問的場景下,如果開啟了HTTP回源,則訪問默認跳轉(zhuǎn)到源站HTTP 80端口。
啟用HTTP2:開關開啟表示允許HTTP 2.0協(xié)議客戶端接入高防,但此時DDoS高防仍使用HTTP 1.1回源到源站。
連接關閉后的不活動超時時間(http2_idle_timeout):120s
單連接最大請求數(shù)(http2_max_requests):1000
單連接最大并發(fā)流(http2_max_concurrent_streams):4
HPACK 解壓縮后整個請求頭列表的最大值(http2_max_header_size):256K
HPACK 壓縮的請求頭字段的最大值(http2_max_field_size):64K
Websocket:選中該協(xié)議將自動同時選中HTTP協(xié)議,不支持單獨選中Websocket協(xié)議。
Websockets:選中該協(xié)議將自動同時選中HTTPS協(xié)議,不支持單獨選中Websockets協(xié)議。
服務器地址
選擇源站服務器的地址類型,并填寫源站服務器的地址。
說明源站可以是阿里云產(chǎn)品,也可以是非阿里云產(chǎn)品。但當源站是阿里云產(chǎn)品時,請確保該源站歸屬于當前的阿里云賬號,如果源站屬于其他阿里云賬號,請在添加前聯(lián)系商務經(jīng)理。
源站IP:表示源站服務器的IP地址。最多支持配置20個源站IP地址,多個IP地址間使用半角逗號(,)分隔。
如果源站在阿里云,一般填寫源站ECS的公網(wǎng)IP地址;如果ECS前面部署了SLB,則填寫SLB的公網(wǎng)IP地址。
如果源站在阿里云外的IDC機房或者其他云服務商,您可以使用
ping 域名命令,查詢域名解析到的公網(wǎng)IP地址,并填寫獲取的公網(wǎng)IP。
源站域名:通常適用于源站和高防之間還部署有其他代理服務(例如,Web 應用防火墻 WAF(Web Application Firewall))的場景,表示代理服務的跳轉(zhuǎn)地址。最多支持配置10個源站域名,多個域名間通過換行分隔。
例如,您在部署DDoS高防實例后還需要部署WAF,以提升應用安全防護能力,您可以選擇源站域名,并填寫WAF的CNAME地址。更多信息,請參見通過聯(lián)合部署DDoS高防和WAF提升網(wǎng)站防護能力。
重要如果您設置的源站域名為OSS存儲空間(Bucket)的默認外網(wǎng)訪問域名,則對應存儲空間必須已綁定自定義域名。更多信息,請參見綁定自定義域名。
配置多個服務器地址(源站IP、源站域名)后,DDoS高防默認以IP Hash的方式轉(zhuǎn)發(fā)網(wǎng)站訪問流量至源站,自動實現(xiàn)負載均衡。保存網(wǎng)站配置后,您可以通過回源設置,修改源站負載算法。具體操作,請參見修改回源設置。
服務器端口
根據(jù)協(xié)議類型,設置源站提供對應服務的端口。
HTTP協(xié)議、Websocket協(xié)議的端口默認為80。
HTTPS協(xié)議、HTTP2協(xié)議、Websockets協(xié)議的端口默認為443。
自定義服務器端口,多個端口間使用半角逗號(,)分隔,具體限制如下。
自定義端口必須在可選端口范圍內(nèi)。
標準功能實例:
HTTP協(xié)議可選端口:80、8080。
HTTPS協(xié)議可選端口:443、8443。
增強功能實例:
HTTP協(xié)議可選端口范圍:80~65535。
HTTPS協(xié)議可選端口范圍:80~65535。
所有接入DDoS高防實例防護的網(wǎng)站業(yè)務下自定義的不同端口(包含不同協(xié)議下的自定義端口)的總數(shù)不能超過10個。
例如,您有2個網(wǎng)站(A和B),網(wǎng)站A提供HTTP服務、網(wǎng)站B提供HTTPS服務。如果網(wǎng)站A的接入配置中自定義了HTTP 80、8080端口,那么在網(wǎng)站B的接入配置中,最多可以自定義8個不同的HTTPS端口。
Cname Reuse
僅DDoS高防(非中國內(nèi)地)支持配置該參數(shù)。選擇是否開啟CNAME復用。
該功能適用于同一臺服務器上有多個網(wǎng)站業(yè)務的場景。開啟CNAME復用后,您只需將同一個服務器上多個域名的解析指向同一個高防CNAME地址,即可將多個域名接入高防,無需為每個域名分別添加高防網(wǎng)站配置。更多信息,請參見CNAME復用。
填寫轉(zhuǎn)發(fā)配置,然后單擊下一步。
配置項
說明
啟用OCSP Stapling
選擇是否啟用OCSP Stapling功能。
重要該功能適用于網(wǎng)站HTTPS業(yè)務。如果您已選擇的協(xié)議類型包含HTTPS,推薦啟用該功能。
OCSP表示在線證書狀態(tài)協(xié)議,該協(xié)議用于向簽發(fā)證書的CA(Certificate Authority)中心發(fā)起查詢請求,檢查證書是否被吊銷。在與服務器進行TLS握手時,客戶端必須同時獲取證書和對應的OCSP響應。
未啟用(默認):表示由客戶端瀏覽器向CA中心發(fā)起OCSP查詢。該方式會導致客戶端在獲得OCSP響應前阻塞后續(xù)的事件,在網(wǎng)絡情況不佳時,將造成較長時間的頁面空白,降低HTTPS的性能。
啟用:表示由DDoS高防來執(zhí)行OCSP查詢并緩存查詢結(jié)果(緩存時間為3600秒)。當有客戶端向服務器發(fā)起TLS握手請求時,DDoS高防將證書的OCSP信息隨證書鏈一起發(fā)送給客戶端,從而避免了客戶端查詢會產(chǎn)生的阻塞問題。由于OCSP響應是無法偽造的,因此這一過程不會產(chǎn)生額外的安全問題。
cookie設置
下發(fā)狀態(tài)
默認開啟。開啟狀態(tài)時DDoS高防將會在客戶端(如瀏覽器)植入Cookie用于區(qū)分統(tǒng)計不同客戶端或者獲取客戶端的指紋信息等。詳細介紹,請參見設置CC安全防護。
重要如需停止DDoS高防向業(yè)務植入Cookie的行為,您可以將開關關閉,但同時DDoS高防也將無法通過CC安全防護策略模塊對CC攻擊進行主動判斷和防護。
Secure屬性
默認關閉。如果開啟,Cookie只會在HTTPS連接中被發(fā)送,而不會在HTTP連接中發(fā)送,有助于保護Cookie不被攻擊竊取。當網(wǎng)站業(yè)務僅支持HTTPS鏈接時建議開啟。
流量標記
客戶端真實源端口
HTTP Header中客戶端真實源端口所在的頭部字段名。
一般情況下使用
X-Forwarded-ClientSrcPort字段記錄真實的客戶端源端口,如果您的業(yè)務使用自定義的字段記錄真實的客戶端源端口,請將Header字段名稱設置為您自定義的字段。您可以從高防轉(zhuǎn)發(fā)到源站的請求中解析設置的字段,獲取客戶端使用的真實端口。具體操作與獲取客戶端真實請求IP類似,更多信息,請參見配置DDoS高防后獲取真實的請求來源IP。客戶端真實源IP
HTTP Header中客戶端真實源IP所在的頭部字段名。
一般情況下使用
X-Forwarded-For字段記錄真實的客戶端源IP,如果您的業(yè)務使用自定義的字段記錄真實的客戶端源IP,請將Header字段名稱設置為您自定義的字段。您可以從高防轉(zhuǎn)發(fā)到源站的請求中解析設置的字段,獲取客戶端使用的真實IP。自定義Header
在請求中增加自定義HTTP Header(包含字段名稱和字段值)來標記經(jīng)過DDoS的請求。高防在代理網(wǎng)站流量時,會在轉(zhuǎn)發(fā)到源站的請求中添加對應的字段值,方便您后端的服務進行統(tǒng)計分析。
請不要使用以下默認字段作為自定義Header:
X-Forwarded-ClientSrcPort:默認被用于獲取訪問高防七層引擎的客戶端端口。X-Forwarded-ProxyPort:默認被用于獲取訪問高防七層引擎的監(jiān)聽端口。X-Forwarded-For:默認被用于獲取訪問高防七層引擎的客戶端IP。
請不要使用標準HTTP頭部字段(例如,host、user-agent、connection、upgrade等)或一些被廣泛使用的自定義HTTP頭部字段(x-real-ip、x-true-ip、x-client-ip、web-server-type、wl-proxy-client-ip、eagleeye-rpcid、eagleeye-traceid、x-forwarded-cluster、x-forwarded-proto等),否則會導致請求原始頭部字段的內(nèi)容被改寫。
除客戶端真實源端口和客戶端真實源IP外,您最多支持添加5個自定義Header標簽。
回源負載算法
有多個源站服務器地址(源站IP或源站域名)時需要配置。您可以修改回源負載均衡算法或者為不同服務器設置權(quán)重。
IP hash:支持設置IP hash的同時為服務器設置權(quán)重。使用IP hash保證同一客戶端的請求在一段時間內(nèi)被分配到同一臺服務器處理,確保會話的一致性。結(jié)合權(quán)重模式,根據(jù)服務器的處理能力進行權(quán)重分配,確保更高性能的服務器處理更多的請求,優(yōu)化資源利用效率。
輪詢:所有請求輪流分配給所有服務器地址。默認所有服務器地址具有相同權(quán)重。支持修改服務器權(quán)重。服務器權(quán)重越大,被分配到請求的可能性越高。
Least time:通過智能DNS解析能力和Least time回源算法,保證業(yè)務流量將從接入防護節(jié)點到轉(zhuǎn)發(fā)回源站服務器整個鏈路的時延最短。
其他設置
設置新建連接超時時間:DDoS高防嘗試建立到源站的連接時,超過該時間連接未建立完成,會被認定為失敗。支持設置為1~10秒。
設置讀連接超時時間:DDoS高防成功建立連接并向源站發(fā)出讀取數(shù)據(jù)請求之后,等待源站返回響應數(shù)據(jù)的最長時間。支持設置為10~300秒。
設置寫連接超時時間:數(shù)據(jù)從DDoS高防發(fā)送出去之后,并由源站開始處理之前,DDoS高防等待的時間長度。超過這段時間,如果DDoS高防還沒有成功地將所有數(shù)據(jù)發(fā)送給源站,或者源站沒有開始處理數(shù)據(jù),會被認定為失敗。支持設置為10~300秒。
回源重試:當DDoS高防請求的資源在緩存服務器上沒有命中時,緩存服務器將嘗試從上一級緩存服務器或源站重新獲取該資源。
回源長連接:在緩存服務器與源站之間,使TCP連接在一段時間內(nèi)保持活躍,而不是每完成一次請求就關閉。開啟后可以減少建立連接的時間和資源消耗,提高請求處理的效率與速度。
復用長連接的請求個數(shù):在DDoS高防向源站建立的一個TCP連接中,支持發(fā)送的HTTP請求個數(shù),可以減少因頻繁建立和關閉連接所帶來的延遲和資源消耗。支持設置為10~1000。建議小于等于后端源站(如:WAF、SLB)上配置的長連接請求復用個數(shù),以免長連接關閉造成業(yè)務無法訪問。
空閑長連接超時時間:DDoS高防向源站建立的一個TCP長連接,在沒有數(shù)據(jù)傳輸之后,在高防的連接池保持開啟狀態(tài)的最長時間。這個時間段內(nèi)如果沒有新的請求,該連接將被關閉,以釋放系統(tǒng)資源。支持設置為10~30秒。建議小于等于后端源站(如:WAF、SLB)上配置的超時時長,以免長連接關閉造成業(yè)務無法訪問。
設置HTTP2.0 Stream數(shù)上限:僅當啟用HTTP2時支持設置,表示服務端允許的最大并發(fā)流數(shù)量。支持設置為16~32,如果您有更高的配置訴求,請聯(lián)系商務經(jīng)理。
后續(xù)配置
(可選)更換源站ECS服務器的公網(wǎng)IP地址。
如果您的源站是阿里云ECS服務器,且源站IP地址不慎暴露,您需要更換ECS云服務器的公網(wǎng)IP,防止黑客繞過DDoS高防直接攻擊源站。具體操作,請參見更換源站ECS公網(wǎng)IP。
在源站服務器上放行DDoS高防回源IP。
如果源站服務器上安裝了防火墻等安全軟件,您需要在源站放行DDoS高防回源IP,避免由高防轉(zhuǎn)發(fā)回源站的流量被誤攔截。具體操作,請參見放行DDoS高防回源IP
在本地驗證轉(zhuǎn)發(fā)配置是否生效。具體操作,請參見本地驗證轉(zhuǎn)發(fā)配置生效。
警告如果轉(zhuǎn)發(fā)配置未生效就執(zhí)行業(yè)務切換,將可能導致業(yè)務中斷。
修改DNS解析將業(yè)務流量切換到DDoS高防。
添加網(wǎng)站配置后,DDoS高防為網(wǎng)站分配一個CNAME地址,您必須將網(wǎng)站域名的DNS解析指向高防CNAME地址,才可以正式將業(yè)務流量切換到高防實例進行防護。具體操作,請參見使用CNAME或IP將網(wǎng)站域名解析到DDoS高防。
(可選)配置網(wǎng)站業(yè)務DDoS防護策略。
DDoS高防默認為接入防護的網(wǎng)站開啟了DDoS全局防護策略、AI智能防護,您還可以在網(wǎng)站業(yè)務DDoS防護頁簽,開啟更多防護功能。具體操作,請參見網(wǎng)站業(yè)務DDoS防護。
重要設置CC安全防護后,可能會被植入Cookie。詳細內(nèi)容,請參見Cookie植入說明。
(可選)配置云監(jiān)控告警。
針對DDoS高防的常用業(yè)務指標(例如,高防IP流量、連接數(shù)等)、攻擊事件(例如,黑洞、清洗事件)設置告警規(guī)則,使云監(jiān)控在高防上業(yè)務發(fā)生異常時,及時向您發(fā)送告警,幫助您縮短響應時間,盡快恢復業(yè)務。具體操作,請參見云監(jiān)控告警。
(可選)配置全量日志服務。
DDoS高防采集并存儲網(wǎng)站業(yè)務的全量日志數(shù)據(jù),供您進行業(yè)務查詢與分析。DDoS高防全量日志服務默認存儲180天內(nèi)的網(wǎng)站全量日志,幫助您滿足等保合規(guī)要求。具體操作,請參見快速使用全量日志分析。
更多操作
編輯網(wǎng)站配置
您可以通過編輯操作修改除網(wǎng)站域名以外的配置信息,例如為網(wǎng)站重新關聯(lián)DDoS高防實例、修改源站IP等。編輯網(wǎng)站配置支持批量操作。
如果您為域名修改DDoS高防實例,為保證業(yè)務轉(zhuǎn)發(fā)正常,具體操作步驟, 請參考修改域名綁定的DDoS高防實例。
編輯單條網(wǎng)站配置
在域名接入頁面,定位到目標網(wǎng)站配置,單擊操作列的編輯。
在網(wǎng)站配置詳情頁面,修改除網(wǎng)站域名以外的配置信息,然后單擊確定。
批量編輯網(wǎng)站配置
在域名接入頁面最下方,單擊批量修改,在批量修改面板輸入修改后的網(wǎng)站配置,然后單擊下一步。
在導入規(guī)則頁面,選中要導入的網(wǎng)站配置,然后單擊確定。
單擊完成,關閉上傳完成頁面。
刪除網(wǎng)站配置
若您的網(wǎng)站不再需要接入DDoS高防,必須先為其恢復域名解析,即確保域名的DNS解析中不再使用高防IP、高防CNAME、流量調(diào)度器CNAME作為記錄值,然后刪除對應的網(wǎng)站配置。若您未恢復網(wǎng)站域名解析就刪除網(wǎng)站配置,可能導致業(yè)務中斷。
在域名接入頁面,定位到目標網(wǎng)站配置,單擊操作列的刪除。
在刪除提示對話框中,確認要刪除后,單擊刪除。
如果您使用DDoS高防(中國內(nèi)地)服務,也可以批量刪除多個網(wǎng)站配置。勾選要刪除的網(wǎng)站配置,單擊網(wǎng)站列表下方的批量刪除。
相關文檔
針對業(yè)務正常訪問期間的延遲問題,DDoS高防還提供流量調(diào)度器功能。實現(xiàn)正常業(yè)務訪問期間流量不經(jīng)過高防轉(zhuǎn)發(fā),直接達到源站服務器不增加延遲,僅在業(yè)務被攻擊時切換到高防進行流量轉(zhuǎn)發(fā),幫助業(yè)務清洗DDoS攻擊。詳細內(nèi)容,請參見流量調(diào)度器。