欢迎来到天天文库
浏览记录
ID:36205150
大小:520.52 KB
页数:8页
时间:2019-05-07
《阿里云DDoS高防IP服务-快速入门-D》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库。
1、DDoS高防IP快速入门(网站业务)DDoS高防IP/快速入门(网站业务)快速入门(网站业务)文档目的本文档介绍了网站业务用户新购高防后如配置上线,切换业务接入高防,并验证防护生效。读者对象本文档作为快速入门参考,适用于有以下需求的读者对象:-了解网站业务如何使用高防IP-已购买高防IP,但不知道如何配置接入-需要测试、验证、修改、删除高防配置-不知道如何配置DNS解析、CNAME解析、A记录解析有关其他高防IP使用中的常见问题,请参考"高防常见问题汇总及链接(持续更新)"快速入门流程图一般网站类接入流程遵循以下步骤:1
2、.控制台配置网站接入(http/https)2.源站上确认放行高防回源IP段3.本地验证配置生效4.修改DNS解析,把全部业务切换到高防上来登录高防控制台,找到您已经开通的高防IP实例。在对应高防IP的右侧点击"安全配置":切换到"网站接入"标签页,点击"添加单条域名"按钮,在弹出的配置中填写域名和源站IP(源站IP就是服务器的真实IP地址),勾选http和(或)https:7DDoS高防IP/快速入门(网站业务)7DDoS高防IP/快速入门(网站业务)注意:-www.abc.com和abc.com要看做两个不同的域名
3、分别配置,否则访问可能出现异常(如只配了abc.com,访问www.abc.com时就可能会报错)-支持泛域名配置,如配一条"*.a.com"可同时匹配"1.a.com","2.a.com","www.a.com"等,泛域名占一条配置名额;-如果一个域名对应多个源站IP,可以都写进去,最多20个。多个源站之间会以IPHash方式进行轮询做负载均衡;-源站端口无需配置,会根据协议自动生成;-网站防护设置只支持80和443端口,其他网站业务非标准端口需要走四层的协议转发配置。7DDoS高防IP/快速入门(网站业务)点击确定,
4、系统会生成一条cname记录(步骤5中会详细介绍cname),点击"展开防护面板"可以看到CC防护和WAF的开关(默认是打开的,可以关闭),以及针对该域名的黑白名单配置:有https业务的站点接入跟http的配置基本相同,只需要在协议类型处勾选https即可:注意:网站只有https没有http业务的,也需要勾选http。点击确定后,会有如下提示:7DDoS高防IP/快速入门(网站业务)关于SNI是什么,以及不支持SNI的浏览器访问高防会有什么问题的介绍请参考这里。接下来我们需要为刚配置的https站点上传服务器的证书(
5、公钥)和私钥文件,这样高防才能解密https请求,从而完成https反向代理,并根据请求内容识别和过滤攻击。点击展开防护面板,点击红色的"上传证书"按钮:在弹出的上传对话框中选择服务器的证书和私钥文件,然后点击确定:7DDoS高防IP/快速入门(网站业务)请务必注意证书及私钥文件格式的要求,证书文件必须是pem格式,私钥文件必须是key格式,且文件名不要多于10个英文字符,不要包含特殊符号如"."、下划线、连接符等。下面两个帮助文档可供您参考:证书转换成pem格式的方法汇总上传证书报错"参数格式错误"的原因及解决办法上传
6、成功后,原来红色的"上传证书"字样会变成绿色的"证书私钥管理",如下图:点击"证书私钥管理"可以重新上传证书和私钥文件。先说一下为何要将回源IP段放行(或加白)。高防作为一个反向代理,其中包含了一个FullNAT的架构,其逻辑如下图所示:没有高防代理时,在源站看来真实客户端地址是非常分散的,每个源IP的请求量都不大(正常情况下);经过高防后,因为高防回源的IP段固定且有限,在源站看来所有的请求都是来自高防回源IP段的,分摊到每个回源IP上的请求量会变大很多(看起来好像回源IP在对源站进行攻击),此时源站如果有防御DDoS
7、的安全策略,很可能会将回源IP拦截或者限速。如最常见的502错误,表示高防虽然转发请求到了源站,源站却没有响应(因为回源IP被防火墙拉黑了)。7DDoS高防IP/快速入门(网站业务)所以在配置完转发后,我们强烈建议关闭源站上的防火墙和其他任何安全类的软件(如安全狗等),确保高防的回源IP不受源站安全策略的影响。此外,为了进一步保护安全,可以在源站上配置只放行高防回源IP段以及少数您信任的IP地址(比如办公网出口、家庭地址等),其他的源地址全部封掉。以ECS安全组的配置为例,可以参考这里。具体的高防IP地址段属于非公开信息
8、,请购买了高防的用户提工单或者咨询钉钉/旺旺群中的工程师。在高防控制台中的配置完成后,高防预期应该可以把请求高防IP的报文转发到源站(真实服务器)去。为了最大程度保证业务的稳定,我们建议在切换DNS解析之前先进行本地的测试。首先需要修改本地hosts文件(什么是hosts文件),使本地对于被防护站点的请求先经过高防。
此文档下载收益归作者所有