防护网站业务配置

更新时间：2018/06/11 访问次数：4043

本文档介绍了网站业务用户新购DDoS高防后如何配置上线、切换业务接入高防、并验证防护生效。

读者对象

快速入门流程图

说明：购买高防实例后，您需要先启用高防实例，才可将业务接入DDoS高防IP。

启用高防实例

购买高防实例后，您需要启用该实例才可将您的网站业务或非网站业务接入高防进行防护。您可以参考以下操作步骤，启用您已购买的高防实例：

高防实例启用后，您可以根据您的实际情况将您的网站或非网站业务接入该高防实例进行防护。

步骤1：HTTP网站接入

登录云盾管理控制台，定位到DDoS防护>高防IP>网站，单击添加域名。
在填写域名信息配置界面，填写需要防护的网站信息。
- 在防护网站输入框内填写需要配置防护的网站域名。
- 对于只包含HTTP协议的网站在协议类型选项仅勾选http。
- 源站IP/域名支持两种方式回源。第一种是直接填写真实服务器的IP地址，第二种是填写回源域名（即通过回源域名的DNS解析出真实服务器的IP，再进行流量转发）。
  注意：
  - www.abc.com 和 abc.com 需要作为两个不同的域名分别进行配置，否则访问可能出现异常（例如，只配置了 abc.com，在访问 www.abc.com 时有可能提示无法访问）。
  - 支持泛域名配置，如配置一条“*.a.com”即可同时匹配”1.a.com”、”2.a.com”、”www.a.com”等域名。泛域名仅用占一条配置名额。
  - 如果一个域名对应多个源站IP，可以都填写到源站IP中（最多支持20个IP）。多个源站之间会以IP Hash方式进行轮询实现负载均衡。
  - 源站端口无需配置，根据协议类型自动生成。
  - 网站防护设置只支持80和443端口，其他非标准端口网站业务需要通过非网站的协议转发配置。
单击下一步，进入选择实例和线路配置界面。查看当前已有的高防实例及实例所对应的高防IP，根据实际业务需要选择您的高防IP。
如图所示，可将需要防护网站的域名转发规则绑定到电信、联通、BGP三条线路。
单击确定，完成DDoS高防IP转发规则配置部分。

步骤2：放行回源IP段

为何要将回源IP段放行

DDoS高防作为一个反向代理，其中包含了一个Full NAT的架构。没有启用DDoS高防代理时，对于源站来说真实客户端的地址是非常分散的，且正常情况下每个源IP的请求量都不大。
启用DDoS高防代理后，由于高防回源的IP段固定且有限，对于源站来说所有的请求都是来自高防回源IP段，因此分摊到每个回源IP上的请求量会增大很多（可能被误认为回源IP在对源站进行攻击）。此时，如果源站有其它防御DDoS的安全策略，很可能对回源IP进行拦截或者限速。
例如，最常见的502错误，即表示高防IP转发请求到源站，但源站却没有响应（因为回源IP可能被源站的防火墙拦截）。
502

所以，在配置完转发规则后，我们强烈建议关闭源站上的防火墙和其他任何安全类的软件（如安全狗等），确保高防的回源IP不受源站安全策略的影响。

DDoS高防回源IP段

您可在云盾DDoS防护管理控制台中，单击高防回源IP段，查看详细的高防IP回源地址段。

步骤3：验证配置生效

在云盾DDoS防护管理控制台配置完成后，DDoS高防预期可以把请求高防IP的报文转发到源站（真实服务器）。
为了最大程度保证业务的稳定，我们建议在切换DNS解析之前先进行本地的测试。

本地测试步骤

首先修改本地hosts文件，使本地对于被防护站点的请求经过高防。
以Windows操作系统为例：
1. 找到Hosts文件。一般Hosts文件在 C:\Windows\System32\drivers\etc\ 文件夹中。
2. 用记事本或Notepad++等文本编辑器，打开hosts文件。
3. 在最后一行添加如下内容：
  <高防IP地址> <被防护网站的域名>
  以“www.aliyundemo.com”为例，在hosts文件最后一行添加如下内容：
  注意：前面的高防IP地址为添加域名转发规则时所选择的高防IP地址。如果配置时，选择了多个线路的高防IP（如电信、联通、BGP三条线路），可以分别绑定三个IP，分三次进行测试。
4. 修改hosts文件后保存。
在本地计算机对被防护的域名运行Ping命令。
预期解析到的IP地址是在hosts文件中绑定的高防IP地址。如果依然是源站地址，可尝试刷新本地的DNS缓存（在Windows的命令提示符中运行ipconfig/flushdns命令。）
确认hosts绑定已经生效（域名在本地解析为高防IP）后，打开浏览器，输入域名访问被防护网站。
如果高防IP服务的配置正确，网站预期能正常访问。
如果网站无法正常访问，请确认步骤1、步骤2中的配置是否正确。如问题依然存在，请联系阿里云售后支持。

步骤4：修改DNS解析

最后，修改DNS解析，使所有用户的访问都先经过DDoS高防再回到源站（相当于将所有流量长牵引到高防IP）。

操作步骤

各个DNS解析提供商的配置原理相同，具体配置步骤可能有细微差别，本文以万网配置为例。

登录万网域名控制台，进入域名解析设置。
以图中的域名aliyundemo.com为例，当前的域名解析采用A记录的方式，默认线路（除联通以外的线路，包含电信、移动、教育网、铁通、海外等线路）的@和www记录（即用户直接访问域名“aliyundemo.com”或者“www.aliyundemo.com”）都是解析到源站IP地址为11.11.11.11的服务器，而联通线路则是解析到源站IP地址为22.22.22.22的服务器。
接入DDoS高防后，需要修改域名解析配置让域名解析到高防IP上。
目前，支持CNAME解析和A记录解析两种方式，推荐使用CNAME方式接入。

把记录类型改为CNAME，在记录值内输入CNAME地址。
在配置域名转发规则时，云盾DDoS防护管理控制台已自动生成该域名的CNAME地址，并且提供分线路智能解析功能。因此，CNAME解析只需要配置默认线路的解析即可。