添加网站 - DDoS防护

网站业务接入DDoS高防时，您必须在DDoS高防控制台添加一条网站配置，设置网站业务接入DDoS高防后的流量转发信息。网站配置支持批量操作。本文介绍了添加网站配置和批量导入网站配置的操作步骤。

前提条件

已购买DDoS高防（新BGP）或DDoS高防（国际）实例。
相关操作，请参见购买DDoS高防实例。
如果网站业务要接入DDoS高防（新BGP）实例进行防护，则网站域名必须已经完成ICP备案。如果网站业务要接入DDoS高防（国际）实例进行防护，则网站域名无需完成ICP备案。
关于ICP备案的更多信息，请参见ICP备案流程概述。

注意由于ICP备案有时效性，建议您在将网站业务接入DDoS高防后，仍注意维护域名的备案信息。DDoS高防会定期查询已接入防护的网站域名的备案状态。如果检测到域名备案已经失效，DDoS高防会停止相关业务的流量转发，并在域名接入页面为您展示如下图所示的提示。出现以下提示时，如果您需要恢复业务流量转发，必须及时更新域名的备案状态，并提交工单申请恢复流量转发。

添加网站配置

登录DDoS高防控制台。
在顶部菜单栏左上角处，选择服务所在地域：
- 中国内地：选择该地域将跳转到DDoS高防（新BGP）控制台。
- 非中国内地：选择该地域将跳转到DDoS高防（国际）控制台。
您可以通过切换地域分别管理和配置DDoS高防（新BGP）和DDoS高防（国际）实例。在使用DDoS高防服务时，请确认您已选择正确的地域。
在左侧导航栏，选择接入管理 > 域名接入。
在域名接入页面，单击添加网站。
您也可以批量导入网站配置。具体操作，请参见批量导入网站配置。

按照页面提示，完成添加网站配置向导。

填写网站信息。

填写以下网站信息，并单击添加。


参数	适用的实例类型	说明
功能套餐	DDoS高防（新BGP）和DDoS高防（国际）	选择要关联的DDoS高防实例的功能套餐。可选项：标准功能、增强功能。您可以将光标放置在功能套餐后的图标上，查看标准功能和增强功能套餐的功能差异（如下图所示）。
实例	DDoS高防（新BGP）和DDoS高防（国际）	选择要关联的DDoS高防实例。一个网站域名最多可以关联8个DDoS高防实例，且只能关联同一种功能套餐下的多个实例。此处根据您选择的功能套餐类型显示对应的DDoS高防实例。如果无可选实例，表示您当前无可用的该功能套餐的DDoS高防实例。您可以新购实例或升级已有的标准功能套餐实例。具体操作，请参见升级实例。
网站	DDoS高防（新BGP）和DDoS高防（国际）	填写要防护的网站域名。具体要求如下：域名可以由26个英文字母（a~z、A~Z，不区分大小写）、数字（0~9）以及短划线（-）组成。域名的首位必须是字母或数字。支持填写泛域名，例如，`.aliyundoc.com`。使用泛域名时，DDoS高防自动匹配该泛域名对应的子域名。如果同时存在泛域名和精确域名配置（例如，`.aliyundoc.com`和`www.aliyundoc.com`），DDoS高防优先使用精确域名（即`www.aliyundoc.com`）所配置的转发规则和防护策略。
协议类型	DDoS高防（新BGP）和DDoS高防（国际）	选择网站支持的协议类型。可选项： HTTP HTTPS：如果网站支持HTTPS加密认证，请选中HTTPS协议，并在保存网站配置后上传网站域名使用的HTTPS证书。关于上传证书的操作，请参见上传HTTPS证书。 Websocket：选中该协议将自动同时选中HTTP协议，不支持单独选中Websocket协议。 Websockets：选中该协议将自动同时选中HTTPS协议，不支持单独选中Websockets协议。选中HTTPS协议后，您可以根据需要开启以下高级设置：开启HTTPS的强制跳转：适用于您的网站同时支持HTTP和HTTPS协议。开启该设置后，所有HTTP请求将被强制转换为HTTPS请求，且默认跳转到443端口。注意只有当您同时选中HTTP和HTTPS协议，并且没有选中Websocket协议时，才可以开启该设置。 HTTP非标准端口（80以外的端口）访问的场景下，如果开启了HTTPS强制跳转，则访问默认跳转到HTTPS 443端口。开启HTTP回源：适用于您的网站不支持HTTPS回源。开启该设置后，所有HTTPS协议请求将通过HTTP协议回源、所有Websockets协议请求将通过Websocket协议回源，且默认回源端口为80。注意如果您的网站不支持HTTPS回源，请务必开启该设置。 HTTPS非标准端口（443以外的端口）访问的场景下，如果开启了HTTP回源，则访问默认跳转到源站HTTP 80端口。启用HTTP2：开启该设置，表示源站使用了HTTP 2.0协议。
启用OCSP	DDoS高防（新BGP）和DDoS高防（国际）	选择是否启用OCSP（Online Certificate Status Protocol）功能。注意该功能适用于网站HTTPS业务。如果您已选择的协议类型包含HTTPS，推荐您启用该功能。 OCSP表示在线证书状态协议，该协议用于向签发证书的CA（Certificate Authority）中心发起查询请求，检查证书是否被吊销。在与服务器进行TLS握手时，客户端必须同时获取证书和对应的OCSP响应。 OCSP功能默认未开启，表示由客户端浏览器向CA中心发起OCSP查询。该方式会导致客户端在获得OCSP响应前阻塞后续的事件，在网络情况不佳时，将造成较长时间的页面空白，降低HTTPS的性能。启用OCSP表示由DDoS高防来执行OCSP查询并缓存查询结果（缓存时间为300秒）。当有客户端向服务器发起TLS握手请求时，DDoS高防将证书的OCSP信息随证书链一起发送给客户端，从而避免了客户端查询会产生的阻塞问题。由于OCSP响应是无法伪造的，因此这一过程不会产生额外的安全问题。
服务器地址	DDoS高防（新BGP）和DDoS高防（国际）	选择源站服务器的地址类型，并填写源站服务器的地址。支持的地址类型包括：源站IP：表示源站服务器的IP地址。最多支持配置20个源站IP地址，多个IP地址间使用半角逗号（,）分隔。示例：如果源站在阿里云，一般填写源站ECS的公网IP地址；如果ECS前面部署了SLB，则填写SLB的公网IP地址。如果源站在阿里云外的IDC机房或者其他云服务商，您可以使用`ping 域名`命令，查询域名解析到的公网IP地址，并填写您获取的公网IP。源站域名：通常适用于源站和高防之间还部署有其他代理服务（例如，Web应用防火墙）的场景，表示代理服务的跳转地址（例如，Web应用防火墙提供给您的CNAME地址）。最多支持配置10个源站域名，多个域名间通过换行分隔。示例：如果您在部署DDoS高防实例后还需要部署Web应用防火墙（WAF），以提升应用安全防护能力，您可以选择源站域名类型，并填写WAF的CNAME地址。更多信息，请参见通过联合部署DDoS高防和WAF提升网站防护能力。注意如果您设置的源站域名为OSS存储空间（Bucket）的默认外网访问域名，则对应存储空间必须已绑定自定义域名。更多信息，请参见绑定自定义域名。配置多个服务器地址（源站IP、源站域名）后，DDoS高防默认以IP Hash的方式转发网站访问流量至源站，自动实现负载均衡。保存网站配置后，您可以通过回源设置，修改源站负载算法。具体操作，请参见修改回源设置。
服务器端口	DDoS高防（新BGP）和DDoS高防（国际）	根据已选择的协议类型，设置源站提供对应服务的端口。 HTTP协议的服务器端口默认为80；HTTPS协议的服务器端口默认为443。注意 Websocket协议的端口与HTTP协议的端口一致。 Websockets和HTTP 2.0协议的端口与HTTPS协议的端口一致。您可以单击自定义，自定义服务器端口。HTTP或HTTPS协议下均支持自定义多个端口。多个端口间使用半角逗号（,）分隔。自定义服务器端口有以下要求：自定义端口必须在可选端口范围内。您可以单击查看可选范围，查看HTTP或HTTPS协议支持的可选端口范围。 DDoS高防实例的功能套餐不同，支持的可选端口范围不同，具体说明如下：标准功能实例： HTTP协议可选端口：80、8080。 HTTPS协议可选端口：443、8443。增强功能实例： HTTP协议可选端口范围：80~65535。 HTTPS协议可选端口范围：80~65535。所有接入DDoS高防实例防护的网站业务下自定义的不同端口（包含不同协议下的自定义端口）的总数不能超过10个。示例：假设您有2个网站（A和B）要接入DDoS高防实例防护，网站A提供HTTP服务、网站B提供HTTPS服务。如果您在网站A的接入配置中自定义了HTTP 80、8080端口，那么在网站B的接入配置中，您最多可以自定义8个不同的HTTPS端口。
Cname Reuse	DDoS高防（国际）	选择是否开启CNAME复用。该功能适用于同一台服务器上有多个网站业务的场景。开启CNAME复用后，您只需将同一个服务器上多个域名的解析指向同一个高防CNAME地址，即可将多个域名接入高防，无需为每个域名分别添加高防网站配置。更多信息，请参见CNAME复用。

完成配置。
按照页面提示，完成以下后续步骤：
1. 放行DDoS高防回源IP：
  如果源站服务器上安装了防火墙等安全软件，您需要在源站放行DDoS高防回源IP，避免由高防转发回源站的流量被误拦截。
  
  如果不存在上述情况，请跳过该步骤。
2. 更换源站ECS公网IP：
  如果您的源站是阿里云ECS服务器，且源站IP地址不慎暴露，您需要更换ECS云服务器的公网IP，防止黑客绕过DDoS高防直接攻击源站。
  
  如果不存在上述情况，请跳过该步骤。
3. 上传HTTPS证书：
  如果接入高防的网站有HTTPS业务，您必须将域名关联的HTTPS证书上传到DDoS高防实例中配置的对应域名，才能保证HTTPS协议请求被正常响应。
  
  说明如果网站已关联增强型DDoS高防实例，则在成功上传HTTPS证书后，您还可以为网站自定义TLS安全策略。具体操作，请参见自定义TLS安全策略。
  
  如果网站只有HTTP业务，请跳过该步骤。
4. 可选：本地验证转发配置生效：
  在本地计算机上验证添加到高防的网站配置已经生效，避免在网站配置未生效时将业务流量切换到高防，导致业务中断。
5. 修改域名的解析设置：
  添加网站配置后，DDoS高防为网站分配一个CNAME地址，您必须将网站域名的DNS解析指向高防CNAME地址，才可以正式将业务流量切换到高防实例进行防护。您可以手动修改网站域名的DNS解析或者使用NS接入的方式自动修改DNS解析。
  
  相关操作，请参见手动修改DNS解析接入网站业务、NS方式接入网站业务。
单击去网站列表，您可以在网站列表中查看新添加的网站域名和域名对应的高防CNAME地址。

完成添加网站配置向导后，您可以对已经添加的网站配置执行以下操作： CNAME地址

添加备注：单击备注后的图标，为该网站配置添加备注信息，便于后续识别。
编辑、删除：编辑、删除已添加的网站配置。

注意您可以通过编辑网站配置，开启高防流量标记功能，使DDoS高防在回源请求的自定义Header字段记录特定的信息。该功能可用于获取客户端真实源端口、记录高防转发流量等场景。更多信息，请参见设置流量标记。
DNS设置：如果您开启了付费版的阿里云云解析DNS服务，则可以使用NS接入方式自动修改域名DNS，完成业务流量切换到高防进行防护。
具体操作，请参见NS方式接入网站业务。
防护设置：前往网站业务DDoS防护页签，修改网站的DDoS防护功能配置。
成功添加网站配置后，DDoS高防默认为网站开启AI智能防护和频率控制防护功能，您可以在网站业务DDoS防护页签，为网站开启更多的防护功能和修改防护功能的规则。

具体操作，请参见设置AI智能防护。
回源设置：如果接入高防的网站有多个源站服务器，您可以通过回源设置修改回源负载算法。
具体操作，请参见修改回源设置。

后续配置

完成域名接入流程后，网站访问流量将经过DDoS高防保护，您还需要完善以下配置，才能更好地防护网站安全。


配置类型	说明	相关文档
网站业务DDoS防护配置	DDoS高防默认为接入防护的网站开启了全局防护策略、AI智能防护和频率控制防护功能，您可以在网站业务DDoS防护页签，为网站开启更多的防护功能、修改防护功能的规则。	设置DDoS全局防护策略设置AI智能防护设置黑白名单（针对域名）设置区域封禁（针对域名）设置精准访问控制设置频率控制
云监控告警配置	通过配置云监控告警规则，您可以针对DDoS高防的常用业务指标（例如，高防IP流量、连接数等）、攻击事件（例如，黑洞、清洗事件）设置告警规则，使云监控在高防上业务发生异常时，及时向您发送告警，帮助您缩短响应时间，尽快恢复业务。	设置云监控告警
全量日志服务配置	通过启用全量日志服务，您可以使DDoS高防采集并存储网站业务的全量日志数据，供您进行业务查询与分析。DDoS高防全量日志服务默认存储180天内的网站全量日志，帮助您满足等保合规要求。	快速上手

批量导入网站配置

登录DDoS高防控制台。
在顶部菜单栏左上角处，选择服务所在地域：
- 中国内地：选择该地域将跳转到DDoS高防（新BGP）控制台。
- 非中国内地：选择该地域将跳转到DDoS高防（国际）控制台。
您可以通过切换地域分别管理和配置DDoS高防（新BGP）和DDoS高防（国际）实例。在使用DDoS高防服务时，请确认您已选择正确的地域。
在左侧导航栏，选择接入管理 > 域名接入。
在域名接入页面，单击网站列表下方的批量导入。
在批量创建面板，输入要导入的网站配置，并单击下一步。
批量创建的网站配置采用XML文件格式传入。关于文件格式的说明，请参见网站配置XML格式说明。

如果您填写的XML配置参数文本内容正确，则XML配置将被解析成所需导入的网站配置。
在导入规则面板，选中要导入的网站配置，并单击确定。
成功上传网站配置后，关闭上传完成面板。