本文档介绍了非网站业务(企业ERP、进销存OMS等APP)用户新购DDoS高防后如配置上线,切换业务接入高防,并验证防护生效。
注意:与网站业务不同,非网站业务配置后只进行四层转发。DDoS高防不会解析七层报文的内容,也不提供基于七层报文的防护(如CC攻击、Web攻击等),只支持四层防护(如SYN Flood、UDP Flood等)。
本文档作为快速入门参考,适用于有以下需求的读者对象:
1)了解非网站业务如何使用高防IP。
2)已购买DDoS高防IP,但不知道如何配置业务接入。
3)需要测试、验证、修改、或删除DDoS高防配置。
4)不知道如何配置DNS解析、CNAME地址解析、及A记录解析。
一般非网站类业务接入流程请参考以下步骤:
说明: 购买高防实例后,您需要先启用高防实例,才可将业务接入DDoS高防IP。
1. 登录云盾管理控制台,定位到DDoS防护>高防IP,单击非网站。在非网站页面,可选择高防实例和高防IP。
2. 选择需要配置规则的高防IP后,单击添加规则。
3. 选择转发协议(目前支持TCP和UDP),设置转发端口(需要通过高防IP的哪个端口来访问,一般情况选择跟源站相同端口)。然后,填写源站端口(源站提供业务服务的真实端口)和源站IP。
注意:
1)如果一个端口对应多个源站IP,可以都填写到源站IP中(最多支持20个IP)。多个源站之间会以轮询方式实现负载均衡;
2)非网站转发端口不支持80端口和UDP的53端口,网站类业务请直接在网站业务接入中配置。
4. 单击确定。
注意:非网站业务只支持四层转发,不支持七层防护(如WAF和CC防护),也不支持黑白名单。
注意:本文目的是为了避免源站将DDoS高防的回源IP拦截而影响业务,而不是源站保护(只允许经过DDoS高防的请求访问源站)。如果您想要配置源站保护,请参考高防源站保护。
DDoS高防作为一个反向代理,其中包含了一个Full NAT的架构。
没有启用DDoS高防代理时,对于源站来说真实客户端的地址是非常分散的,且正常情况下每个源IP的请求量都不大。
启用DDoS高防代理后,由于高防回源的IP段固定且有限,对于源站来说所有的请求都是来自高防回源IP段,因此分摊到每个回源IP上的请求量会增大很多(可能被误认为回源IP在对源站进行攻击)。此时,如果源站有其它防御DDoS的安全策略,很可能对回源IP进行拦截或者限速。
例如,最常见的502错误,即表示高防IP转发请求到源站,但源站却没有响应(因为回源IP可能被源站的防火墙拦截)。
所以,在配置完转发规则后,我们强烈建议关闭源站上的防火墙和其他任何安全类的软件(如安全狗等),确保高防的回源IP不受源站安全策略的影响。
您可登录云盾DDoS防护管理控制台,定位到实例列表,单击高防回源IP段,查看详细的高防IP回源地址段。
在云盾DDoS防护管理控制台配置完成后,DDoS高防预期可以把请求高防IP对应端口的报文转发到源站(真实服务器)的对应端口。
为了最大程度保证业务的稳定,我们建议在全面切换业务之前先进行本地的测试。
有的四层业务(企业erp)可能不需要域名,是直接通过IP来进行交互的。
例如,高防IP是99.99.99.99,配置了端口1234的转发,源站IP是11.11.11.11,对应服务端口也是1234。在完成前两步的配置后,可以直接本地通过telnet命令访问高防IP 99.99.99.99的1234端口,telnet命令能连通则说明转发成功。
或者,如果能在本地客户端直接填写服务器IP,也可以直接填入高防IP进行测试。
对于需要通过域名来访问的业务(如客户端中使用的服务器地址是域名而不是IP),可通过以下两种方法来验证配置是否生效:
① 首先修改本地hosts文件,使本地对于被防护站点的请求经过高防。以Windows操作系统为例:
a. 找到Hosts文件。一般Hosts文件在 C:\Windows\System32\drivers\etc\ 文件夹中。
b. 用记事本或Notepad++等文本编辑器,打开hosts文件。
c. 在最后一行添加如下内容:
<高防IP地址> <被防护网站的域名>
以“www.aliyundemo.com”为例,在hosts文件最后一行添加如下内容:
d. 修改hosts文件后保存。
② 在本地计算机对被防护的域名运行Ping命令。
预期解析到的IP地址是在hosts文件中绑定的高防IP地址。如果依然是源站地址,可尝试刷新本地的DNS缓存(在Windows的命令提示符中运行ipconfig/flushdns命令。)
③ 确认本地解析已经切换到高防IP以后,使用原来的域名进行测试,如果能正常访问则说明配置已经生效。
如果客户端支持填写服务器域名,可以把原来的域名替换成DDoS高防服务已分配的接入CNAME地址,测试访问是否正常。
注意:本步骤仅针对使用四层业务、同时还需要使用域名来指定服务器地址的业务。例如,某ERP应用,需要填写域名“aliyundemo.com”作为服务器地址,或是这个域名已经写在客户端程序中。
如果通过直接指定IP进行访问的四层业务,则无需进行以下步骤配置。
修改DNS解析,使所有用户的访问都先经过DDoS高防再回到源站(相当于将所有流量长牵引到高防IP)。
各个DNS解析提供商的配置原理相同,具体配置步骤可能有细微差别,本文以万网配置为例。
1. 登录万网域名控制台,进入域名解析设置。
以图中的域名aliyundemo.com为例,当前的域名解析采用A记录的方式,默认线路(除联通以外的线路,包含电信、移动、教育网、铁通、海外等线路)的@和www记录(即用户直接访问域名“aliyundemo.com”或者“www.aliyundemo.com”)都是解析到源站IP地址为11.11.11.11的服务器,而联通线路则是解析到源站IP地址为22.22.22.22的服务器。
2. 接入DDoS高防后,需要修改域名解析配置让域名解析到高防IP上。推荐按照以下方式进行A记录解析配置:
三线套餐用户:
1)设置电信线路A记录解析到电信的高防IP。
2)设置联通线路A记录解析到联通的高防IP。
3)设置默认线路A记录解析到BGP的高防IP。
二线套餐用户:
1)设置默认线路A记录解析到电信的高防IP。
2)设置联通线路A记录解析到联通的高防IP。
在配置域名解析完后,可通过一些在线测试工具(如17ce、站长之家等)测试域名的解析情况。
DNS的完全生效时间,根据各地DNS解析的收敛时间不同而不同。
注意:请务必确保把所有业务都切换到DDoS高防,不然恶意攻击者还是能够通过未解析到DDoS高防的业务找到源站服务器IP地址,从而绕过DDoS高防直接攻击源站。