阿里云DDoS高防IP服务-快速入门-D

1、DDoS 高防IP快速入门（网站业务）DDoSDDoSIP/快速入门（网站业务） PAGE 7 PAGE 7快速入门（网站业务）文档目的本文档介绍了网站业务用户新购高防后如配置上线，切换业务接入高防，并验证防护生效。读者对象本文档作为快速入门参考，适用于有以下需求的读者对象：了解网站业务如何使用高防IP已购买高防IP，但不知道如何配置接入需要测试、验证、修改、删除高防配置不知道如何配置DNS解析、CNAME解析、A记录解析有关其他高防IP使用中的常见问题，请参考高防常见问题汇总及链接（持续更新）快速入门流程图一般网站类接入流程遵循以下步骤：控制台配置网站接入（http/https）源站上确认放

2、行高防回源IP段本地验证配置生效修改DNS解析，把全部业务切换到高防上来登录高防控制台，找到您已经开通的高防IP实例。在对应高防IP的右侧点击安全配置：切换到网站接入标签页，点击添加单条域名按钮，在弹出的配置中填写域名和源站IP（源站IP就是服务器的 真实IP地址），勾选http和（或）https：注意： HYPERLINK / 和 要看做两个不同的域名分别配置，否则访问可能出现异常（如只配了 HYPERLINK / ，访问 时就可能会报错） HYPERLINK / 支持泛域名配置，如配一条*.可同时匹配1.，2.， 等，泛域名占一条配置名额；如果一个域名对应多个源站IP，可以都写进去，最多2

3、0个。多个源站之间会以IP Hash方式进行轮询做负载均衡；源站端口无需配置，会根据协议自动生成；网站防护设置只支持80和443端口，其他网站业务非标准端口需要走四层的协议转发配置。点击确定，系统会生成一条cname记录（步骤5中会详细介绍cname），点击展开防护面板可以看到CC防护 和WAF的开关（默认是打开的，可以关闭），以及针对该域名的黑白名单配置：有https业务的站点接入跟http的配置基本相同，只需要在协议类型处勾选https即可：注意：网站只有https没有http业务的，也需要勾选http。点击确定后，会有如下提示：关于SNI是什么，以及不支持SNI的浏览器访问高防会有什么问

4、题的介绍请参考这里。接下来我们需要为刚配置的https站点上传服务器的证书（公钥）和私钥文件，这样高防才能解密https请求，从而完成https反向代理，并根据请求内容识别和过滤攻击。点击展开防护面板，点击红色的上传证书按钮：在弹出的上传对话框中选择服务器的证书和私钥文件，然后点击确定：请务必注意证书及私钥文件格式的要求，证书文件必须是pem格式，私钥文件必须是key格式，且文件名不要 多于10个英文字符，不要包含特殊符号如.、下划线、连接符等。下面两个帮助文档可供您参考：证书转换成pem格式的方法汇总上传证书报错参数格式错误的原因及解决办法上传成功后，原来红色的上传证书字样会变成绿色的证书私

5、钥管理，如下图：点击证书私钥管理可以重新上传证书和私钥文件。先说一下为何要将回源IP段放行（或加白）。高防作为一个反向代理，其中包含了一个Full NAT的架构，其逻辑如下图所示：没有高防代理时，在源站看来真实客户端地址是非常分散的，每个源IP的请求量都不大（正常情况下）；经过 高防后，因为高防回源的IP段固定且有限，在源站看来所有的请求都是来自高防回源IP段的，分摊到每个回源 在对源站进行攻击），此时源站如果有防御DDoS的安全策略，很 可能会将回源IP拦截或者限速。如最常见的502错误，表示高防虽然转发请求到了源站，源站却没有响应（因为回源IP被防火墙拉黑了）。所以在配置完转发后，我们强烈

6、建议关闭源站上的防火墙和其他任何安全类的软件（如安全狗等），确保高防 的回源IP不受源站安全策略的影响。此外，为了进一步保护安全，可以在源站上配置只放行高防回源IP段以及少数您信任的IP地址（比如办公网出 口、家庭地址等），其他的源地址全部封掉。以ECS安全组的配置为例，可以参考这里。具体的高防IP地址段属于非公开信息，请购买了高防的用户提工单或者咨询钉钉/旺旺群中的工程师。在高防控制台中的配置完成后，高防预期应该可以把请求高防IP的报文转发到源站（真实服务器）去。为了最 大程度保证业务的稳定，我们建议在切换DNS解析之前先进行本地的测试。首先需要修改本地hosts文件（什么是hosts文件）

7、，使本地对于被防护站点的请求先经过高防。以Windows为 例，hosts文件的位置一般位于C:WindowsSystem32driversetchosts，用记事本或notepad+等文本 编辑器打开，在最后一行添加如下内容：高防IP以步骤一中添加的域名nice2meetu.top为例，hosts文件应该添加如下内容：其中前面的IP地址为对应的高防IP地址。注意此处如果有多个线路的高防IP（如电信、联通、BGP三线），可以 分别绑定三个IP分三次测试。修改hosts文件后保存。然后本地ping一下被防护的域名，预期此时解析到的IP地址应该是刚才绑定的高防IP地 址。如果依然是源站地址，可尝试

8、刷新本地的DNS缓存（Windows的cmd下可以使用ipconfig/flushdns命令）。确认hosts绑定已经生效（域名已经本地解析为高防IP）后，打开浏览器，输入该域名进行访问，如果高防的配 置正确，网站预期能够正常打开。如果无法正常打开，请确认步骤一、二中的配置无误，如问题依然存在，请联系阿里云售后支持。接下来需要修改DNS解析，使所有用户的访问都能先经过高防再回到源站（相当于所有流量长牵引到高防IP）。各个DNS解析提供商的配置原理是一样的，具体配置可能大同小异，本文以万网配置为例。首先登陆万网控制 台，进入域名解析设置：以上图中的域名nice2meetu.top为例，当前的解析

9、情况是采用A记录的方式，默认线路（除联通以外的线路，包含电信、移动、教育网、铁通、海外等线路）的和www记录（即用户直接访问域名 HYPERLINK http:/www.nice2meetu.top/ nice2meetu.top或者www.nice2meetu.top ）是解析到源站地址为1这台服务器，而联通的线路是解析到2这台源站服务器。接入高防后，我们要让域名解析到高防的IP上，所以需要修改这里的配置。目前CNAME解析和A记录解析两种 方式都支持，我们推荐用CNAME方式（什么是CNAME以及为什么推荐用CNAME）。按照下图所示修改：把记录类型从A记录改为CNAME，记录值处输入CN

10、AME值。注意，对于同一个域名，不同线路产生的CNAME记录是一样的（比如购买了联通、电信、BGP三线的高防套餐，在三个IP中配置的相同域名生成是CNAME解析只需要配置默认线路的解析即可。配置 完成后的CNAME解析配置如下图所示：如果您的域名解析不支持或者无法配置CNAME解析（比如有的配置了MX记录的用户会提示主机记录和A记录的配置相同，我们推荐按照下面的方式 设置：三线套餐用户：设置电信线路A记录解析到电信的高防IP 设置联通线路A记录解析到联通的高防IP 设置默认线路A记录解析到BGP的高防IP二线套餐用户：设置默认线路A记录解析到电信的高防IP 设置联通线路A记录解析到联通的高防IP配