本文档介绍了网站业务用户新购DDoS高防后如何配置上线、切换业务接入高防、并验证防护生效。
本文档作为快速入门参考,适用于有以下需求的读者对象:
1)了解网站业务如何使用DDoS高防IP。
2)已购买DDoS高防IP,但不知道如何配置网站业务接入。
3)需要测试、验证、修改、或删除DDoS高防配置。
4)不知道如何配置DNS解析、CNAME地址解析、及A记录解析。
有关其他DDoS高防IP运维使用中的常见问题,请参考DDoS高防IP运维指南。
一般网站业务接入流程请参考以下步骤:
说明: 购买高防实例后,您需要先启用高防实例,才可将业务接入DDoS高防IP。
购买高防实例后,您需要启用该实例才可将您的网站业务或非网站业务接入高防进行防护。您可以参考以下操作步骤,启用您已购买的高防实例:
1. 登录云盾DDoS防护管理控制台。
2. 定位到高防IP>实例列表,选择地域,找到您想要启用的高防实例。
3. 单击立刻启用。
4. 选择线路,单击立即启用。
高防实例启用后,您可以根据您的实际情况将您的网站或非网站业务接入该高防实例进行防护。
1. 登录云盾管理控制台,定位到DDoS防护>高防IP>网站,单击添加域名。
2. 在填写域名信息配置界面,填写需要防护的网站信息。
1)在防护网站输入框内填写需要配置防护的网站域名。
2)对于只包含HTTP协议的网站在协议类型选项仅勾选http。
3)源站IP/域名支持两种方式回源。第一种是直接填写真实服务器的IP地址,第二种是填写回源域名(即通过回源域名的DNS解析出真实服务器的IP,再进行流量转发)。
注意:
① www.abc.com 和 abc.com 需要作为两个不同的域名分别进行配置,否则访问可能出现异常(例如,只配置了 abc.com,在访问 www.abc.com 时有可能提示无法访问)。
② 支持泛域名配置,如配置一条“*.a.com”即可同时匹配”1.a.com”、”2.a.com”、”www.a.com”等域名。泛域名仅用占一条配置名额。
③ 如果一个域名对应多个源站IP,可以都填写到源站IP中(最多支持20个IP)。多个源站之间会以IP Hash方式进行轮询实现负载均衡。
④ 源站端口无需配置,根据协议类型自动生成。
⑤ 网站防护设置只支持80和443端口,其他非标准端口网站业务需要通过非网站的协议转发配置。
4. 单击下一步,进入选择实例和线路配置界面。查看当前已有的高防实例及实例所对应的高防IP,根据实际业务需要选择您的高防IP。
如图所示,可将需要防护网站的域名转发规则绑定到电信、联通、BGP三条线路。
5. 单击确定,完成DDoS高防IP转发规则配置部分。
DDoS高防作为一个反向代理,其中包含了一个Full NAT的架构。
没有启用DDoS高防代理时,对于源站来说真实客户端的地址是非常分散的,且正常情况下每个源IP的请求量都不大。
启用DDoS高防代理后,由于高防回源的IP段固定且有限,对于源站来说所有的请求都是来自高防回源IP段,因此分摊到每个回源IP上的请求量会增大很多(可能被误认为回源IP在对源站进行攻击)。此时,如果源站有其它防御DDoS的安全策略,很可能对回源IP进行拦截或者限速。
例如,最常见的502错误,即表示高防IP转发请求到源站,但源站却没有响应(因为回源IP可能被源站的防火墙拦截)。
所以,在配置完转发规则后,我们强烈建议关闭源站上的防火墙和其他任何安全类的软件(如安全狗等),确保高防的回源IP不受源站安全策略的影响。
您可在云盾DDoS防护管理控制台中,单击高防回源IP段,查看详细的高防IP回源地址段。
在云盾DDoS防护管理控制台配置完成后,DDoS高防预期可以把请求高防IP的报文转发到源站(真实服务器)。
为了最大程度保证业务的稳定,我们建议在切换DNS解析之前先进行本地的测试。
1. 首先修改本地hosts文件,使本地对于被防护站点的请求经过高防。以Windows操作系统为例:
a)找到Hosts文件。一般Hosts文件在 C:\Windows\System32\drivers\etc\ 文件夹中。
b)用记事本或Notepad++等文本编辑器,打开hosts文件。
c)在最后一行添加如下内容:
<高防IP地址> <被防护网站的域名>
以“www.aliyundemo.com”为例,在hosts文件最后一行添加如下内容:
注意:前面的高防IP地址为添加域名转发规则时所选择的高防IP地址。如果配置时,选择了多个线路的高防IP(如电信、联通、BGP三条线路),可以分别绑定三个IP,分三次进行测试。
d)修改hosts文件后保存。
2. 在本地计算机对被防护的域名运行Ping命令。
预期解析到的IP地址是在hosts文件中绑定的高防IP地址。如果依然是源站地址,可尝试刷新本地的DNS缓存(在Windows的命令提示符中运行ipconfig/flushdns命令。)
3. 确认hosts绑定已经生效(域名在本地解析为高防IP)后,打开浏览器,输入域名访问被防护网站。
如果高防IP服务的配置正确,网站预期能正常访问。
如果网站无法正常访问,请确认步骤1、步骤2中的配置是否正确。如问题依然存在,请联系阿里云售后支持。
最后,修改DNS解析,使所有用户的访问都先经过DDoS高防再回到源站(相当于将所有流量长牵引到高防IP)。
各个DNS解析提供商的配置原理相同,具体配置步骤可能有细微差别,本文以万网配置为例。
1. 登录万网域名控制台,进入域名解析设置。
以图中的域名aliyundemo.com为例,当前的域名解析采用A记录的方式,默认线路(除联通以外的线路,包含电信、移动、教育网、铁通、海外等线路)的@和www记录(即用户直接访问域名“aliyundemo.com”或者“www.aliyundemo.com”)都是解析到源站IP地址为11.11.11.11的服务器,而联通线路则是解析到源站IP地址为22.22.22.22的服务器。
2. 接入DDoS高防后,需要修改域名解析配置让域名解析到高防IP上。
目前,支持CNAME解析和A记录解析两种方式,推荐使用CNAME方式接入。
把记录类型改为CNAME,在记录值内输入CNAME地址。
在配置域名转发规则时,云盾DDoS防护管理控制台已自动生成该域名的CNAME地址,并且提供分线路智能解析功能。因此,CNAME解析只需要配置默认线路的解析即可。
注意:如果您的域名解析不支持或者无法配置CNAME解析(例如,已配置MX记录的域名会提示@主机记录和MX记录冲突),可以使用A记录进行域名解析。配置方法与普通A记录配置方法相同。
推荐按照以下方式进行A记录解析配置:
三线套餐用户:
1)设置电信线路A记录解析到电信的高防IP。
2)设置联通线路A记录解析到联通的高防IP。
3)设置默认线路A记录解析到BGP的高防IP。
二线套餐用户:
1)设置默认线路A记录解析到电信的高防IP。
2)设置联通线路A记录解析到联通的高防IP。
在配置域名解析完后,可通过一些在线测试工具(如17ce、站长之家等)测试域名的解析情况。
DNS的完全生效时间,根据各地DNS解析的收敛时间不同而不同。
注意:请务必确保把所有业务都切换到DDoS高防,不然恶意攻击者还是能够通过未解析到DDoS高防的业务找到源站服务器IP地址,从而绕过DDoS高防直接攻击源站。
如果源站暴露,请参考使用高防后源站IP暴露的解决办法。