DDoS高防通过将网站流量牵引至高防节点进行清洗,过滤恶意攻击流量,并将正常访问流量转发回源站,从而保障网站业务的稳定和可用。本文将引导您如何为网站业务快速接入DDoS高防并完成关键配置。
适用范围
DDoS高防实例:已根据业务需求购买DDoS高防实例。
ICP备案:若使用DDoS高防(中国内地)实例,请确保域名已完成ICP备案。
步骤一:添加网站配置
使用DDoS高防防护网站业务时,首先需在DDoS高防实例中添加要防护的域名,设置业务流量的转发策略。
登录DDoS高防控制台的域名接入页面。
在顶部菜单栏左上角处,根据DDoS高防产品选择地域。
DDoS高防(中国内地):选择中国内地地域。
DDoS高防(非中国内地):选择非中国内地地域。
在域名接入页面,单击添加网站。
说明也可以在页面最下方单击批量导入,批量导入网站配置。网站配置采用XML文件格式传入,关于文件格式的详细介绍,请参见其他操作。
填写网站接入信息,然后单击下一步。
基础配置
功能套餐:选择要关联的DDoS高防实例的功能套餐。可选项:标准功能、增强功能。
说明将光标放置在功能套餐后的
图标上,查看标准功能和增强功能套餐的功能差异。更多信息,请参见标准功能和增强功能的差异。实例:选择要关联的DDoS高防实例。
重要一个网站域名最多可以关联8个DDoS高防实例,且只能关联同一种功能套餐下的实例。
网站:填写要防护的网站域名,支持精确域名(如
www.example.com)和泛域名(如*.example.com)。说明如果同时存在泛域名和精确域名配置(例如,
*.aliyundoc.com和www.aliyundoc.com),DDoS高防优先使用精确域名(即www.aliyundoc.com)所配置的转发规则和防护策略。如果填写的是一级域名,仅防护一级域名,不支持对二级域名等子域名进行防护。如果您要防护二级域名,请输入二级域名或者泛域名。
仅支持配置为域名,不支持填写网站IP。
协议类型:选择网站支持的协议。
HTTP / HTTPS:Web网站的基础协议。
说明HTTPS相关配置,请参见HTTPS配置页签说明。
Websocket / Websockets:实时通信协议,选中后会自动关联HTTP/HTTPS。
服务器地址:设置DDoS高防回源时请求的后端服务器(即源站服务器)地址。
源站IP:填写源站服务器的公网IP地址,支持多个IP,用半角逗号(,)分隔。填写实例如下:
源站在阿里云:一般填写源站ECS的公网IP地址。如果ECS前面部署了SLB,则填写SLB的公网IP地址。
源站在阿里云外的IDC机房或者其他云服务商:使用
ping 域名命令,查询域名解析到的公网IP地址,并填写获取的公网IP。
源站域名:
适用场景:适用于源站和高防之间配置了其他代理服务的场景。填写示例如下:
如前置代理为WAF,可填写WAF的CNAME地址。更多信息,请参见通过联合部署DDoS高防和WAF提升网站防护能力。
如果设置的源站域名为OSS存储空间(Bucket)的默认外网访问域名,则对应存储空间必须已绑定自定义域名。更多信息,请参见绑定自定义域名。
填写限制:最多支持配置10个源站域名,多个域名间通过换行分隔。
服务器端口:设置源站服务器上监听网站服务的端口。
HTTP/Websocket :默认端口为 80。
HTTPS/Websockets: 默认端口为 443。
自定义服务器端口:
多端口设置:支持多个端口,用半角逗号(,)分隔。所有接入DDoS高防实例防护的网站业务下自定义的不同端口(包含不同协议下的自定义端口)的总数不能超过10个。
端口范围(HTTP/HTTPS):80~65535
HTTPS配置
网站支持的协议选择HTTPS加密认证时,请完成以下配置。
配置证书:启用HTTPS必须配置与网站域名匹配的SSL证书。
手动上传:填写证书名称,并将证书文件和私钥文件中的文本内容分别复制粘贴到证书文件和私钥文件框中。
说明对于PEM、CER、CRT格式的证书,您可以使用文本编辑器直接打开证书文件,复制其中的文本内容。对于其他格式(例如,PFX、P7B等)的证书,您需要将证书文件转换成PEM格式后,才能用文本编辑器打开并复制其中的文本内容。关于证书格式的转换方式,请参见证书格式转换或HTTPS证书转换成PEM格式。
如果该HTTPS证书有多个证书文件(例如,证书链),您需要将证书链中的文本内容拼接合并后粘贴至证书文件中。
选择已有证书:通过阿里云数字证书管理服务(Certificate Management Service)申请的证书,或者您已将证书上传到数字证书管理服务,可以直接选择证书。
配置TLS安全策略:
说明更多说明,请参见自定义服务器HTTPS证书的TLS安全策略。
HTTPS证书TLS版本:选择国际标准HTTPS证书支持的TLS协议版本。
支持TLS1.0及以上版本,兼容性最好,安全性较低:支持TLS 1.0、TLS 1.1和TLS 1.2。
支持TLS1.1及以上版本,兼容性较好,安全性较好:支持TLS 1.1和TLS 1.2。
支持TLS1.2及以上版本,兼容性较好,安全性很高:支持TLS 1.2。
开启支持TLS1.3:支持TLS1.3。
HTTPS证书加密套件:选择国际标准HTTPS证书支持的加密套件,或自定义加密套件。将光标放置在某个加密套件选项上的
图标,查看该选项包含的加密套件。
启用双向认证:
阿里云签发:在请选择默认CA证书下拉框中选择,通过阿里云数字证书管理服务(Certificate Management Service)签发的CA证书。
非阿里云签发:
请先将自签名CA证书上传至数字证书管理服务(Certificate Management Service)。具体操作,请参见上传证书仓库(上传证书)。
在请选择默认CA证书下拉框中选择上传的自签CA证书。
说明如果使用的是非阿里云签发的CA证书,启用双向认证功能时会消耗证书应用仓库的API调用次数。每个阿里云账号有100次免费的证书应用仓库API调用次数,超用后请根据控制台提示购买API次数包。
启用OCSP Stapling:OCSP表示在线证书状态协议,用于向签发服务端证书的CA(Certificate Authority)中心发起查询请求,检查证书是否被吊销。在与服务器进行TLS握手时,客户端必须同时获取证书和对应的OCSP响应。
重要OCSP 响应经由 CA 数字签名,无法伪造,因此启用此功能不会引入额外的安全风险。
未启用(默认):客户端在 TLS 握手请求时自行向 CA 中心发起 OCSP查询,以验证证书是否被吊销。此过程会阻塞连接,在网络不佳时可能导致页面加载延迟。
启用:由DDoS高防来执行OCSP查询并缓存查询结果(缓存时间为3600秒)。当有客户端向服务器发起TLS握手请求时,DDoS 高防会将缓存的 OCSP 响应随证书链一同发送给客户端,从而避免客户端查询所产生的阻塞问题,从而提升 HTTPS 性能。
国密HTTPS:仅DDoS高防(中国内地)实例支持上传国密标准HTTPS证书,证书算法仅支持SM2。
仅支持国密客户端访问:默认关闭。
开启:仅处理安装国密标准证书的客户端发来的请求。
说明开启后国际标准HTTPS证书对应的TLS套件、双向认证及OCSP Stapling功能配置将不会生效。
关闭:处理安装国密标准证书的客户端,以及安装国际标准证书的客户端发来的请求。
国密HTTPS证书:您需要先将证书上传到数字证书管理服务,才能在此处选择。
国密HTTPS加密套件:默认启用如下加密套件,不支持修改。
ECC-SM2-SM4-CBC-SM3
ECC-SM2-SM4-GCM-SM3
ECDHE-SM2-SM4-CBC-SM3
ECDHE-SM2-SM4-GCM-SM3
高级设置
开启HTTPS的强制跳转:适用于网站同时支持HTTP和HTTPS协议。开启该设置后,所有HTTP请求将被强制转换为HTTPS请求,且默认跳转到443端口。
重要只有同时选中HTTP和HTTPS协议,并且没有选中Websocket协议时,才可以开启该设置。
HTTP非标准端口(80以外的端口)访问的场景下,如果开启了HTTPS强制跳转,则访问默认跳转到HTTPS 443端口。
HTTP2监听:开关开启表示允许HTTP 2.0协议客户端接入高防,但此时DDoS高防仍使用HTTP 1.1回源到源站。HTTP 2.0功能规格说明如下:
基础规格:
连接关闭后的不活动超时时间(http2_idle_timeout):120s
单连接最大请求数(http2_max_requests):1000
单连接最大并发流(http2_max_concurrent_streams):4
HPACK 解压缩后整个请求头列表的最大值(http2_max_header_size):256K
HPACK 压缩的请求头字段的最大值(http2_max_field_size):64K
可设置规格:支持设置HTTP2.0 Stream数上限,即客户端与DDoS高防间允许的最大并发流数量。
设置前向长连接超时时间:客户端与DDoS高防之间建立的 TCP 长连接,设置该连接的空闲超时时间(两次客户端请求之间的最大等待时间)。
说明若在设定时间内无新请求,DDoS高防将主动关闭连接以释放资源。
填写转发配置,然后单击下一步。
回源设置
回源负载算法:当配置了多个源站IP或源站域名时,可通过修改回源负载均衡算法或者为不同服务器设置权重,决定流量在多个源站间的分配方式。
方案
适用场景
机制说明
轮询(默认)
多源站且对源站负载均匀要求较高的场景。
所有请求轮流分配给所有服务器地址,默认所有服务器地址具有相同权重。支持修改服务器权重,服务器权重越大,被分配到请求的可能性越高。
IP hash
需要保持用户会话一致性的场景,极端情况下可能存在负载不均衡。
将来自同一客户端IP的请求始终定向到同一台源站服务器,以保证会话一致性。支持设置IP hash的同时为服务器设置权重,根据服务器的处理能力进行权重分配,可将流量优先导向性能更强的服务器。
Least time
对访问速度和响应延迟极其敏感的业务(如游戏、在线交易)。
通过智能DNS解析能力和Least time回源算法,保证业务流量从接入防护节点到转发回源站服务器整个链路的时延最短。
回源重试:表示对域名转发源站的可用性进行健康检查的探测次数,默认值3。回源重试机制如下:
仅当业务流量访问高防节点时触发回源重试功能,当高防节点检测到域名源站不可用时会进行回源重试。
超过重试次数仍然不可达时将进入静默状态,不再对该源站进行流量转发和探测。
静默结束后重新根据业务流量触发回源重试功能。如果回源重试成功,则对源站重新拉起。
流量标记:
请求头字段转发配置:DDoS高防支持请求头转发配置功能,可以在转发请求到源站时添加或修改HTTP请求头信息,帮助识别和标记通过高防的流量。
插入 X-Client-IP 获取真实IP:用于传递客户端真实原始的IP地址。
插入 X-True-IP 获取建连IP:用于传递客户端建立连接的IP地址。
插入 Web-Server-Type 获取服务类型:通常由第一个代理添加,用于告知后端服务器处理当前请求的前端Web服务器或代理类型。
插入 WL-Proxy-Client-IP 获取建连IP:功能与X-Client-IP相同,为 Oracle WebLogic Server 特有的请求头。
插入 X-Forwarded-Proto 获取监听协议:客户端与第一个代理之间建立连接所使用的协议。
流量标记
默认标记
说明JA3指纹、JA4指纹、客户端TLS指纹、HTTP2.0指纹需联系商务经理配置。
如果业务使用自定义字段代替默认标记,请参考下文自定义Header。配置后,从高防转发到源站的请求中解析该字段,解析示例请参见配置DDoS高防后获取真实的请求来源IP。
客户端真实源端口:HTTP Header中客户端真实源端口所在的头部字段名,通常使用
X-Forwarded-ClientSrcPort字段记录。客户端真实源IP:HTTP Header中客户端真实源IP所在的头部字段名,通常使用
X-Forwarded-For字段记录。JA3指纹:HTTP Header中客户端JA3指纹的MD5哈希值所在的头部字段名,通常使用
ssl_client_ja3_fingerprinting_md5字段记录。JA4指纹:HTTP Header中客户端JA4指纹MD5哈希值所在的头部字段名,通常使用
ssl_client_ja4_fingerprinting_md5字段记录。客户端TLS指纹:HTTP Header中客户端TLS指纹的MD5哈希值所在的头部字段名,通常使用
ssl_client_tls_fingerprinting_md5字段记录。HTTP2.0指纹:HTTP Header中客户端HTTP2.0指纹的MD5哈希值所在的头部字段名,通常使用
http2_client_fingerprint_md5字段记录
自定义Header:在请求中增加自定义HTTP Header(包含字段名称和字段值)来标记经过DDoS的请求。高防在代理网站流量时,会在转发到源站的请求中添加对应的字段值,方便后端服务进行统计分析。
命名限制:为避免关联请求原始头部字段的内容被改写,自定义Header的字段名(Key)不得使用以下保留或常用字段:
高防默认字段:
X-Forwarded-ClientSrcPort:默认被用于获取访问高防七层引擎的客户端端口。X-Forwarded-ProxyPort:默认被用于获取访问高防七层引擎的监听端口。X-Forwarded-For:默认被用于获取访问高防七层引擎的客户端IP。ssl_client_ja3_fingerprinting_md5:默认被用于获取客户端JA3指纹MD5哈希值。ssl_client_ja4_fingerprinting_md5:默认被用于获取客户端JA4指纹MD5哈希值。ssl_client_tls_fingerprinting_md5:默认被用于获取客户端TLS指纹的MD5哈希值。http2_client_fingerprint_md5:默认被用于获取客户端HTTP2.0指纹的MD5哈希值。
标准HTTP字段:如host、user-agent、connection、upgrade等。
常见代理字段:如x-real-ip、x-true-ip、x-client-ip、web-server-type、wl-proxy-client-ip、eagleeye-rpcid、eagleeye-traceid、x-forwarded-cluster、x-forwarded-proto等被广泛使用的自定义HTTP头部字段。
数量限制:最多支持添加5个自定义Header标签。
配置建议:
请优先使用默认标记。
建议先在测试环境验证header字段配置效果后再应用到生产环境。
字段值长度建议控制在100字符以内,避免影响转发性能。
Cname Reuse:选择是否开启CNAME复用。开启CNAME复用后,只需将同一个服务器上多个域名的解析指向同一个高防CNAME地址,即可将多个域名接入高防,无需为每个域名分别添加高防网站配置。更多信息,请参见CNAME复用。
重要仅DDoS高防(非中国内地)支持配置该参数。
其他设置
开启HTTP回源:如果网站不支持HTTPS回源,请务必开启该设置。开启该设置后,所有HTTPS协议请求将通过HTTP协议回源、所有Websockets协议请求将通过Websocket协议回源,且默认回源端口为80。
说明HTTPS非标准端口(443以外的端口)访问的场景下,如果开启了HTTP回源,则访问默认跳转到源站HTTP 80端口。
HTTP2.0回源:启用HTTP2.0回源后,DDoS将通过HTTP2.0协议向源站回源。
警告此功能配置,需联系商务经理开通。
若源站不支持HTTP2.0,请勿配置,否则网站无法访问。
cookie设置
下发状态:默认开启。DDoS高防将会在客户端(如浏览器)植入Cookie用于区分统计不同客户端或者获取客户端的指纹信息等。详细介绍,请参见设置CC安全防护。
重要如果应用在接入高防后出现登录闪退或会话丢失问题,可以尝试关闭此开关。但请注意,关闭后部分CC防护功能将无法生效。
Secure属性:默认关闭。若开启,Cookie只会在HTTPS连接中被发送,而不会在HTTP连接中发送,有助于保护Cookie不被攻击窃取。
说明当网站业务仅支持HTTPS链接时建议开启。
设置新建连接超时时间:DDoS高防尝试建立到源站的连接时间。
说明超过该时间连接未建立完成,会被认定为失败。
设置读连接超时时间:DDoS高防成功建立连接并向源站发出读取数据请求之后,等待源站返回响应数据的最长时间。
设置写连接超时时间:数据从DDoS高防发送出去之后,并由源站开始处理之前,DDoS高防等待的时间长度。
说明超过这段时间,如果DDoS高防还没有成功地将所有数据发送给源站,或者源站没有开始处理数据,会被认定为失败。
回源长连接:由于在缓存服务器与源站之间,TCP连接在一段时间内保持活跃,而不是每完成一次请求就关闭,从而造成资源浪费。开启回源长连接后可减少建立连接的时间和资源消耗,提高请求处理的效率与速度。
复用长连接的请求个数:在DDoS高防向源站建立的一个TCP连接中,支持发送的HTTP请求个数,可以减少因频繁建立和关闭连接所带来的延迟和资源消耗。
说明建议小于等于后端源站(如:WAF、SLB)上配置的长连接请求复用个数,以免长连接关闭造成业务无法访问。
空闲长连接超时时间:DDoS高防向源站建立的一个TCP长连接,在没有数据传输之后,在高防的连接池保持开启状态的最长时间。这个时间段内如果没有新的请求,该连接将被关闭,以释放系统资源。
说明建议小于等于后端源站(如:WAF、SLB)上配置的超时时长,以免长连接关闭造成业务无法访问。
步骤二:将网站业务流量切换到DDoS高防
网站的访问流量需要先经过DDoS高防清洗再转发到源站服务器,实现由DDoS高防实例帮助网站防御DDoS攻击流量。
放行回源IP: 在源站服务器的安全策略(如防火墙、安全组)中,将DDoS高防的回源IP段放行(白名单),避免由高防转发回源站的流量被误拦截。具体操作,请参见放行DDoS高防回源IP。
本地验证配置: 在切换DNS解析前,通过修改本地
hosts文件等方式,验证高防转发配置是否按预期工作,以规避业务中断风险。具体操作,请参见本地验证转发配置生效。切换DNS解析: 本地验证成功后,将网站域名的DNS解析记录修改为高防提供的CNAME地址。此操作将正式把业务流量切换至高防进行防护。具体操作,请参见使用CNAME或IP将网站域名解析到DDoS高防。
步骤三:设置网站业务防护策略
完成接入后,DDoS高防不仅默认为接入防护的网站开启了DDoS全局防护策略、AI智能防护和频率控制防护功能。还可在网站业务DDoS防护页签,为网站开启更多的防护功能或修改防护功能的规则。
在域名接入页面,定位到目标域名,单击操作列的防护设置。
在网站业务DDoS防护页签下,根据需要为目标域名设置DDoS防护策略。
配置项
说明
AI智能防护
默认开启,由智能大数据分析引擎自学习业务流量基线,发现并阻断新型CC攻击,在流量异常时,基于历史流量分布,动态调整各执行模块策略阻断异常请求。支持手动修改防护模式和等级。更多信息,请参见设置AI智能防护。
DDoS全局防护策略
默认开启,DDoS防护引擎根据流量清洗力度,为接入高防防护的网站业务提供三套内置的全局防护策略,帮助业务在攻击发生的瞬间快速应对脉冲式攻击,提高响应及时性。更多信息,请参见设置DDoS全局防护策略。
黑/白名单
开启针对域名的访问源IP黑白名单后,黑名单IP/IP段对域名的访问请求将会被直接阻断,白名单IP/IP段对域名的访问请求将被直接放行,且不经过任何防护策略过滤。更多信息,请参见设置黑白名单(针对域名)。
区域封禁
一键阻断来自指定地区来源IP的所有网站访问请求。更多信息,请参见设置区域封禁(针对域名)。
精准访问控制
使用常见的HTTP字段(例如IP、URL、Referer、UA、参数等)设置匹配条件,用来筛选访问请求,并对命中条件的请求设置放行、封禁、挑战操作。更多信息,请参见设置CC安全防护。
频率控制
默认开启,限制单一源IP对网站的访问频率。频率控制开启后自动生效,且默认使用正常防护模式,帮助网站防御一般的CC攻击。支持手动调整防护模式和自定义访问频率控制规则。更多信息,请参见设置频率控制。
步骤四:查看网站业务防护数据
网站业务接入DDoS高防后,可以在DDoS高防控制台使用安全报表和日志功能查看业务防护数据。
在安全总览页面,查看实例和域名的业务数据以及遭受的DDoS攻击详情。更多信息,请参见安全总览。
在操作日志页面,查看重要操作记录。更多信息,请参见操作日志。
在全量日志分析页面,查看网站业务的日志。更多信息,请参见快速使用全量日志分析。
说明DDoS高防全量日志分析是增值服务,需要单独开通并启用。开通全量日志分析后,阿里云日志服务将对接DDoS高防的网站访问日志和CC攻击日志,并对采集到的日志数据进行实时检索与分析,以仪表盘形式向您展示查询结果。更多信息,请参见什么是日志服务。
常见问题
接入高防后,用户反映登录时出现闪退或会话丢失?
这很可能是由DDoS高防的Cookie植入功能引起的,该功能用于CC攻击防护。您可以尝试在 > cookie设置 中,关闭下发状态开关。
警告请注意,关闭此功能会影响部分CC防护策略的效果。
我刚购买了实例,网站是不是就受保护了?
不是。购买实例只是第一步。在控制台完成添加网站配置,然后将您域名的DNS解析指向DDoS高防提供的CNAME地址。只有在DNS切换生效后,您的网站流量才会经过高防,从而获得保护。