如果您要防护的是网站业务,在购买DDoS高防实例后,您需要将业务接入DDoS高防实例并验证转发配置。本文介绍如何快速为网站业务配置DDoS防护。

操作流程

网站业务快速入门

步骤一:添加网站业务转发规则

使用DDoS高防防护网站业务时,您必须首先在DDoS高防实例中添加要防护的域名,设置业务流量的转发策略。

  1. 登录DDoS高防控制台
  2. 在顶部菜单栏左上角处,选择服务所在地域:
    • DDoS高防(新BGP):选择中国内地地域。
    • DDoS高防(国际):选择非中国内地地域。
    您可以通过切换地域分别管理和配置DDoS高防(新BGP)和DDoS高防(国际)实例。在使用DDoS高防服务时,请确认您已选择正确的地域。
  3. 在左侧导航栏,选择接入管理 > 域名接入
  4. 域名接入页面,添加网站配置。
    添加网站配置有两种方式:
    • 单条添加:单击添加网站,按照页面提示,完成配置向导。
      1. 填写网站信息,并单击添加
        配置项 说明
        功能套餐 选择要关联的DDoS高防实例的功能套餐。可选项:标准功能增强功能

        您可以将光标放置在功能套餐后的功能套餐说明图标上,查看标准功能和增强功能套餐的功能差异。

        实例 选择要关联的DDoS高防实例。一个网站域名最多可以关联8个DDoS高防实例,且只能关联同一种功能套餐下的多个实例。

        此处根据您选择的功能套餐类型显示对应的DDoS高防实例。如果无可选实例,表示您当前无可用的该功能套餐的DDoS高防实例。您可以新购实例或升级已有的标准功能套餐实例。具体操作,请参见升级实例

        网站 填写要防护的网站域名。具体要求如下:
        • 域名可以由26个英文字母(a~z、A~Z,不区分大小写)、数字(0~9)以及短划线(-)组成。域名的首位必须是字母或数字。
        • 支持填写泛域名,例如,*.aliyundoc.com。使用泛域名时,DDoS高防自动匹配该泛域名对应的子域名。
        • 如果同时存在泛域名和精确域名配置(例如,*.aliyundoc.comwww.aliyundoc.com),DDoS高防优先使用精确域名(即www.aliyundoc.com)所配置的转发规则和防护策略。
        协议类型 选择网站支持的协议类型。可选项:
        • HTTP
        • HTTPS:如果网站支持HTTPS加密认证,请选中HTTPS协议,并在保存网站配置后上传网站域名使用的HTTPS证书。关于上传证书的操作,请参见上传HTTPS证书。您还可以为网站自定义TLS安全策略。具体操作,请参见自定义TLS安全策略
          选中HTTPS协议后,可以根据需要开启以下高级设置:
          • 开启HTTPS的强制跳转:适用于网站同时支持HTTP和HTTPS协议。开启该设置后,所有HTTP请求将被强制转换为HTTPS请求,且默认跳转到443端口。
            重要
            • 只有同时选中HTTPHTTPS协议,并且没有选中Websocket协议时,才可以开启该设置。
            • HTTP非标准端口(80以外的端口)访问的场景下,如果开启了HTTPS强制跳转,则访问默认跳转到HTTPS 443端口。
          • 开启HTTP回源:如果网站不支持HTTPS回源,请务必开启该设置。开启该设置后,所有HTTPS协议请求将通过HTTP协议回源、所有Websockets协议请求将通过Websocket协议回源,且默认回源端口为80。
            重要 HTTPS非标准端口(443以外的端口)访问的场景下,如果开启了HTTP回源,则访问默认跳转到源站HTTP 80端口。
          • 启用HTTP2:开启该设置,表示源站使用了HTTP 2.0协议。
        • Websocket:选中该协议将自动同时选中HTTP协议,不支持单独选中Websocket协议。
        • Websockets:选中该协议将自动同时选中HTTPS协议,不支持单独选中Websockets协议。
        启用OCSP 选择是否启用 OCSP (Online Certificate Status Protocol)功能。
        重要 该功能适用于网站HTTPS业务。如果您已选择的协议类型包含HTTPS,推荐启用该功能。
        • 未启用:默认未启用,表示由客户端浏览器向CA中心发起OCSP查询。该方式会导致客户端在获得OCSP响应前阻塞后续的事件,在网络情况不佳时,将造成较长时间的页面空白,降低HTTPS的性能。
        • 启用:表示由DDoS高防来执行OCSP查询并缓存查询结果(缓存时间为300秒)。当有客户端向服务器发起TLS握手请求时,DDoS高防将证书的OCSP信息随证书链一起发送给客户端,从而避免了客户端查询会产生的阻塞问题。由于OCSP响应是无法伪造的,因此这一过程不会产生额外的安全问题。
        服务器地址 选择源站服务器的地址类型,并填写源站服务器的地址。支持的地址类型包括:
        • 源站IP:表示源站服务器的IP地址。最多支持配置20个源站IP地址,多个IP地址间使用半角逗号(,)分隔。
          示例:
          • 如果源站在阿里云,一般填写源站ECS的公网IP地址;如果ECS前面部署了SLB,则填写SLB的公网IP地址。
          • 如果源站在阿里云外的IDC机房或者其他云服务商,您可以使用ping 域名命令,查询域名解析到的公网IP地址,并填写获取的公网IP。
        • 源站域名:通常适用于源站和高防之间还部署有其他代理服务(例如,Web应用防火墙(Web Application Firewall,简称WAF))的场景,表示代理服务的跳转地址(例如,WAF提供给您的CNAME地址)。最多支持配置10个源站域名,多个域名间通过换行分隔。

          示例:如果在部署DDoS高防实例后还需要部署WAF,以提升应用安全防护能力,您可以选择源站域名类型,并填写WAF的CNAME地址。更多信息,请参见通过联合部署DDoS高防和WAF提升网站防护能力

          重要 如果您设置的源站域名为OSS存储空间(Bucket)的默认外网访问域名,则对应存储空间必须已绑定自定义域名。更多信息,请参见绑定自定义域名

        配置多个服务器地址(源站IP、源站域名)后,DDoS高防默认以IP Hash的方式转发网站访问流量至源站,自动实现负载均衡。保存网站配置后,您可以通过回源设置,修改源站负载算法。具体操作,请参见修改回源设置

        服务器端口 根据已选择的协议类型,设置源站提供对应服务的端口。
        HTTP协议的服务器端口默认为80;HTTPS协议的服务器端口默认为443。
        重要
        • Websocket协议的端口与HTTP协议的端口一致。
        • Websockets和HTTP 2.0协议的端口与HTTPS协议的端口一致。
        您可以单击自定义,自定义服务器端口。HTTPHTTPS协议下均支持自定义多个端口。多个端口间使用半角逗号(,)分隔。自定义服务器端口有以下要求:
        • 自定义端口必须在可选端口范围内。单击查看可选范围,查看HTTP或HTTPS协议支持的可选端口范围。
          DDoS高防实例的功能套餐不同,支持的可选端口范围不同,具体说明如下:
          • 标准功能实例:
            • HTTP协议可选端口:80、8080。
            • HTTPS协议可选端口:443、8443。
          • 增强功能实例:
            • HTTP协议可选端口范围:80~65535。
            • HTTPS协议可选端口范围:80~65535。
        • 所有接入DDoS高防实例防护的网站业务下自定义的不同端口(包含不同协议下的自定义端口)的总数不能超过10个。

          示例:假设您有2个网站(A和B)要接入DDoS高防实例防护,网站A提供HTTP服务、网站B提供HTTPS服务。

          如果您在网站A的接入配置中自定义了HTTP 80、8080端口,那么在网站B的接入配置中,您最多可以自定义8个不同的HTTPS端口。

        Cname Reuse 仅DDoS高防(国际)支持配置该参数。选择是否开启CNAME复用。

        该功能适用于同一台服务器上有多个网站业务的场景。开启CNAME复用后,您只需将同一个服务器上多个域名的解析指向同一个高防CNAME地址,即可将多个域名接入高防,无需为每个域名分别添加高防网站配置。更多信息,请参见CNAME复用

      2. 完成配置
        按照页面提示,根据您的业务需要完成以下后续步骤:
        后续步骤 参考
        如果源站服务器上安装了防火墙等安全软件,您需要在源站放行DDoS高防回源IP,避免由高防转发回源站的流量被误拦截。 放行DDoS高防回源IP
        如果您的源站是阿里云ECS服务器,且源站IP地址不慎暴露,您需要更换ECS云服务器的公网IP,防止黑客绕过DDoS高防直接攻击源站。 更换源站ECS公网IP
        添加网站配置后,DDoS高防为网站分配一个CNAME地址,您必须将网站域名的DNS解析指向高防CNAME地址,才可以正式将业务流量切换到高防实例进行防护。您可以手动修改网站域名的DNS解析或者使用NS接入的方式自动修改DNS解析。 手动修改DNS解析接入网站业务

        NS方式接入网站业务

    • 批量导入网站配置
      1. 单击网站列表下方的批量导入
      2. 批量创建面板,输入要导入的网站配置,并单击下一步
        批量创建的网站配置采用XML文件格式传入。关于文件格式的说明,请参见网站配置XML格式说明批量创建
      3. 导入规则面板,选中要导入的网站配置,并单击确定。成功上传网站配置后,关闭上传完成面板。

步骤二:接入网站业务流量

通过DDoS高防域名接入添加网站业务后,您需要更新域名的DNS解析,将网站业务流量解析到DDoS高防。网站的访问流量都会先经过DDoS高防清洗再转发到源站服务器,实现由DDoS高防实例帮助网站防御DDoS攻击流量。本文以网站域名解析托管在阿里云云解析DNS为例。

建议您在切换网站访问流量前,在本地验证DDoS高防实例的业务转发配置已经生效。具体操作,请参见本地验证转发配置生效
警告 如果转发配置未生效就执行业务切换,将可能导致业务中断。
  1. 登录阿里云云解析DNS控制台
  2. 域名解析页面,定位到要操作的域名,单击操作列下的解析设置
  3. 解析设置页面,定位到要修改的解析记录,单击操作列下的修改
    说明 如果要操作的解析记录不在记录列表中,您可以单击添加记录
  4. 修改记录 (或添加记录)对话框,选择记录类型CNAME,并将记录值修改为域名的DDoS高防CNAME地址。
  5. 单击确认,等待修改后的解析设置生效。

步骤三:设置网站业务防护策略

网站业务接入DDoS高防后,默认启用AI智能防护,无需您进行额外操作。在遇到异常情况或有特殊需求时,您可以手动调整网站业务的DDoS防护策略,具体包括DDoS全局防护策略、AI智能防护、针对域名的黑白名单、针对域名的区域封禁、精准访问控制、频率控制。

  1. 登录DDoS高防控制台
  2. 在顶部菜单栏左上角处,选择服务所在地域:
    • DDoS高防(新BGP):选择中国内地地域。
    • DDoS高防(国际):选择非中国内地地域。
    您可以通过切换地域分别管理和配置DDoS高防(新BGP)和DDoS高防(国际)实例。在使用DDoS高防服务时,请确认您已选择正确的地域。
  3. 在左侧导航栏,选择接入管理 > 域名接入
  4. 域名接入页面,定位到要操作的域名,单击其操作列下的防护设置
  5. 网站业务DDoS防护页签,根据需要为目标域名设置DDoS防护策略。支持设置的DDoS防护策略包括DDoS全局防护策略、AI智能防护、针对域名的黑白名单、针对域名的区域封禁、精准访问控制、频率控制。
    配置项 说明
    DDoS全局防护策略 DDoS防护引擎根据流量清洗力度,为接入高防防护的网站业务提供三套内置的全局防护策略,帮助业务在攻击发生的瞬间快速应对脉冲式攻击,提高响应及时性。更多信息,请参见设置DDoS全局防护策略
    AI智能防护 AI智能防护默认开启。由智能大数据分析引擎自学习业务流量基线,发现并阻断新型CC攻击,在流量异常时,基于历史流量分布,动态调整各执行模块策略阻断异常请求。支持手动修改防护模式和等级。更多信息,请参见设置AI智能防护
    黑白名单(针对域名) 开启针对域名的访问源IP黑白名单后,黑名单IP/IP段对域名的访问请求将会被直接阻断,白名单IP/IP段对域名的访问请求将被直接放行,且不经过任何防护策略过滤。更多信息,请参见设置黑白名单(针对域名)
    区域封禁(针对域名) 开启针对域名的区域封禁后,您可以一键阻断来自指定地区来源IP的所有网站访问请求。更多信息,请参见设置区域封禁(针对域名)
    精准访问控制 开启精准访问控制后,您可以使用常见的HTTP字段(例如IP、URL、Referer、UA、参数等)设置匹配条件,用来筛选访问请求,并对命中条件的请求设置放行、封禁、挑战操作。更多信息,请参见设置精准访问控制
    频率控制 开启频率控制后,您可以限制单一源IP对网站的访问频率。频率控制开启后自动生效,且默认使用正常防护模式,帮助网站防御一般的CC攻击。支持手动调整防护模式和自定义访问频率控制规则。更多信息,请参见设置频率控制

步骤四:查看网站业务防护数据

网站业务接入DDoS高防后,您可以在DDoS高防控制台使用安全报表和日志功能查看业务防护数据。

  1. 登录DDoS高防控制台
  2. 在顶部菜单栏左上角处,选择服务所在地域:
    • DDoS高防(新BGP):选择中国内地地域。
    • DDoS高防(国际):选择非中国内地地域。
    您可以通过切换地域分别管理和配置DDoS高防(新BGP)和DDoS高防(国际)实例。在使用DDoS高防服务时,请确认您已选择正确的地域。
  3. 查看安全总览。
    1. 在左侧导航栏,单击安全总览
    2. 单击域名页签,选择要查询的域名和时间范围,查看安全总览数据。更多信息,请参见安全总览
  4. 查询和分析日志。
    操作类型 说明
    查询操作日志
    说明 仅DDoS高防(新BGP)支持操作日志功能。如果您使用DDoS高防(国际),推荐您开通全量日志分析。

    操作日志记录了最近30天中的重要操作,例如IP、ECS实例操作等。

    1. 在左侧导航栏,单击调查分析 > 操作日志
    2. 操作日志页面,选择要查询的操作对象和时间范围,查看操作日志记录。

    更多信息,请参见查询操作日志

    查询全量日志

    开通全量日志分析后,阿里云日志服务将对接DDoS高防的网站访问日志和CC攻击日志,并对采集到的日志数据进行实时检索与分析,以仪表盘形式向您展示查询结果。更多信息,请参见什么是日志服务

    DDoS高防全量日志分析是增值服务,需要单独开通并启用。具体操作,请参见快速上手