DDoS 高防IP 快速入门(网站业务)
DDoS 高防IP/快速入门(网站业务)
快速入门(网站业务)
文档目的
本文档介绍了网站业务用户新购高防后如配置上线,切换业务接入高防,并验证防护生效。
读者对象
本文档作为快速入门参考,适用于有以下需求的读者对象:
- 了解网站业务如何使用高防IP - 已购买高防IP,但不知道如何配置接入 - 需要测试、验证、修改、删除高防配置
- 不知道如何配置DNS解析、CNAME解析、A记录解析
有关其他高防IP使用中的常见问题,请参考\高防常见问题汇总及链接(持续更新)\
快速入门流程图
一般网站类接入流程遵循以下步骤:
1. 控制台配置网站接入(http/https) 2. 源站上确认放行高防回源IP段 3. 本地验证配置生效
4. 修改DNS解析,把全部业务切换到高防上来
登录高防控制台,找到您已经开通的高防IP实例。在对应高防IP的右侧点击\安全配置\:
切换到\网站接入\标签页,点击\添加单条域名\按钮,在弹出的配置中填写域名和源站IP(源站IP就是服务器的 真实IP地址),勾选http和(或)https:
1
DDoS 高防IP/快速入门(网站业务)
注意:
- www.abc.com 和 abc.com 要看做两个不同的域名分别配置,否则访问可能出现异常(如只配了 abc.com,访问www.abc.com 时就可能会报错)
- 支持泛域名配置,如配一条\可同时匹配\,\,\等,泛域名占一条配置名额;
- 如果一个域名对应多个源站IP,可以都写进去,最多20个。多个源站之间会以IP Hash方式进行轮询做负载均衡;
- 源站端口无需配置,会根据协议自动生成;
- 网站防护设置只支持80和443端口,其他网站业务非标准端口需要走四层的协议转发配置。
点击确定,系统会生成一条cname记录(步骤5中会详细介绍cname),点击\展开防护面板\可以看到CC防护 和WAF的开关(默认是打开的,可以关闭),以及针对该域名的黑白名单配置:
有https业务的站点接入跟http的配置基本相同,只需要在协议类型处勾选https即可:
注意:网站只有https没有http业务的,也需要勾选http。点击确定后,会有如下提示:
2
DDoS 高防IP/快速入门(网站业务)
关于SNI是什么,以及不支持SNI的浏览器访问高防会有什么问题的介绍请参考这里。
接下来我们需要为刚配置的https站点上传服务器的证书(公钥)和私钥文件,这样高防才能解密https请求 ,从而完成https反向代理,并根据请求内容识别和过滤攻击。 点击展开防护面板,点击红色的\上传证书\按钮:
在弹出的上传对话框中选择服务器的证书和私钥文件,然后点击确定:
3
DDoS 高防IP/快速入门(网站业务)
请务必注意证书及私钥文件格式的要求,证书文件必须是pem格式,私钥文件必须是key格式,且文件名不要 多于10个英文字符,不要包含特殊符号如\、下划线、连接符等。下面两个帮助文档可供您参考: 证书转换成pem格式的方法汇总
上传证书报错\参数格式错误\的原因及解决办法
上传成功后,原来红色的\上传证书\字样会变成绿色的\证书私钥管理\,如下图:
点击\证书私钥管理\可以重新上传证书和私钥文件。
先说一下为何要将回源IP段放行(或加白)。高防作为一个反向代理,其中包含了一个Full NAT的架构,其逻辑如下图所示:
没有高防代理时,在源站看来真实客户端地址是非常分散的,每个源IP的请求量都不大(正常情况下);经过 高防后,因为高防回源的IP段固定且有限,在源站看来所有的请求都是来自高防回源IP段的,分摊到每个回源 IP上的请求量会变大很多(看起来好像回源IP在对源站进行攻击),此时源站如果有防御DDoS的安全策略,很 可能会将回源IP拦截或者限速。
如最常见的502错误,表示高防虽然转发请求到了源站,源站却没有响应(因为回源IP被防火墙拉黑了)。
4
阿里云DDoS高防IP服务-快速入门-D
