更新时间:2026-07-01 GMT+08:00
分享

升级使用DDoS高防服务

应用场景

DDoS原生防护提供的安全防护能力可能无法完全满足您的DDoS防护需求时,建议您升级使用DDoS高防服务。DDoS高防能够有效抵御和清洗攻击流量,提升安全防护能力,保护您的业务不受影响,确保服务的稳定性和可用性。

约束与限制

  • 业务服务器在中国内地,推荐购买DDoS高防。使用DDoS高防,域名必须经过ICP备案,未备案域名将无法正常访问。
  • 业务服务器在中国内地以外的地域,请提交工单咨询方案。

前提条件

资源与成本规划

表1 资源与成本规划

资源

资源说明

数量

成本说明

弹性云服务器

绑定EIP。

1

ECS的计费方式及标准请参考ECS计费说明

DDoS高级

用于提供DDoS攻击防护。

1

DDoS高防的计费方式及标准请参考DDoS防护AAD计费说明

步骤一:购买高级防护实例

  1. 登录AAD服务控制台
  2. 在界面右上角,单击“购买DDoS防护”,进入“购买DDoS防护”页面。
  3. “购买DDoS防护”界面,配置以下参数,其他参数保持默认或根据需求选择。

    • 实例类型:DDoS高防
    • 接入类型:网站类
    • 防护区域:中国大陆

  4. 单击“立即购买”
  5. “订单详情”页面,勾选协议后,单击“去支付”
  6. 在支付界面完成订单支付。

    详细操作请参见购买高防实例

步骤二:域名接入DDoS高防

  1. 登录AAD服务控制台
  2. 在左侧导航栏选择DDoS高防 > 域名接入,进入“域名接入”页面。
  3. 在域名列表上方,单击“添加域名”
  4. 在添加域名界面配置以下参数,其他参数保持默认或者根据需求选择。

    • 域名类型:网站类
    • 源站类型:源站IP

  5. (可选)上传证书。

    “源站类型”选择“源站IP”“转发协议”选择“HTTPS”时,您需要导入证书。

    您可以在“证书”下拉列表框中选择已有证书,或上传新证书。

    上传新证书的操作步骤如下。

    1. 单击“上传”,在弹出的“上传证书”对话框中,选择证书上传方式。

      建议证书名称长度不超过10个字符,且不包括特殊字符。

      • 手动上传:输入证书名称,粘贴证书和私钥文本内容。
      • 自动拉取:选择已签发的证书。
      • 当前只支持TLS 1.0、TLS 1.1、TLS 1.2版本证书的上传。
      • 当前仅支持PEM格式证书。
      • 同一用户的证书名不可重复。
      表2 证书参数说明

      参数名称

      说明

      证书文件

      • 证书输入格式如下:
        -----BEGIN CERTIFICATE-----
        MIIDljCCAv+gAwIBAgIJAMD2jG2tYGQ6MA0GCSqGSIb3DQEBBQUAMIGPMQswCQYD
        VQQGEwJDSDELMAkGA1UECBMCWkoxCzAJBgNVBAcTAkhaMQ8wDQYDVQQKEwZodWF3
        ZWkxDzANBgNVBAsTBmh1YXdlaTEPMA0GA1UEAxMGaHVhd2VpMQ8wDQYDVQQpEwZz
        ZXJ2ZXIxIjAgBgkqhkiG9w0BCQEWE3p3YW5nd2VpZGtkQDE2My5jb20wHhcNMTUw
        MzE4MDMzNjU5WhcNMjUwMzE1MDMzNjU5WjCBjzELMAkGA1UEBhMCQ0gxCzAJBgNV
        BAgTAlpKMQswCQYDVQQHEwJIWjEPMA0GA1UEChMGaHVhda2VpMQ8wDQY......
        -----END CERTIFICATE-----
      • 证书文件内容的复制方法:

      私钥文件

      私钥输入格式如下:

      -----BEGIN RSA PRIVATE KEY-----
      MIIDljCCAv+gAwIBAgIJAMD2jG2tYGQ6MA0GCSqGSIb3DQEBBQUAMIGPMQswCQYDVQQG
      EwJDSDELMAkGA1UECBMCWkoxCzAJBgNVBAcTAkhaMQ8wDQYDVQQKEwZodWF3ZWkxDzAN
      BgNVBAsTBmh1YXdlaTEPMA0GA1UEAxMGaHVhd2VpMQ8wDQYDVQQpEwZzZXJ2ZXIxIjAg
      BgkqhkiG9w0BCQEWE3poYW5nd2VpZGtkQDE2My5jb20wHhcNMTUwMzE4MDMzNjU5WhcN
      MjUwMzE1MDMzNjU5WjCBjzELMAkGA1UEBhMCQ0gxCzAJBgNVBAgTAlpKMQswCQYDVQQH
      EwJIWjEPMA0GA1UEChMGaHVhd2VpMQ8wDQYDVQQLEwZ
      -----END RSA PRIVATE KEY-----
      • 私钥文件内容的复制方法:
    2. 单击“确定”

  6. 单击“下一步”,选择高防实例与线路。

    一个域名可以选择多条线路(高防IP),选择多个高防IP时请确保各高防IP所配置的转发规则个数以及转发规则的转发协议、转发端口和业务类型保持一致。

  7. 单击“提交并继续”,弹出修改DNS解析所示界面。

    建议您单击“下一步”,跳过本步骤,后续参照步骤六:更改DNS解析到高防CNAME完成DNS解析配置。

步骤三:设置防护策略

此处以“区域封禁”策略为例。更多防护策略配置请参考配置防护策略

  1. 登录AAD服务控制台
  2. 在左侧导航栏选择DDoS高防 > 防护策略,进入DDoS高防“防护策略”页面。
  3. 选择需要配置区域封禁的实例。
  4. 在区域封禁配置框中单击“设置”
  5. 在弹出的对话框中,选择需要设置区域封禁的路线,并且勾选需要封禁的区域。

    图1 区域封禁设置

  6. 单击“确定”,完成区域封禁设置。

步骤四:放行高防回源IP段

  1. 登录AAD服务控制台
  2. 在左侧导航栏选择DDoS高防 > 域名接入,进入“域名接入”页面。
  3. 在域名列表上方,单击“高防回源IP段”
  4. 在弹出的“高防回源IP段”对话框中,查看高防回源IP段信息。
  5. 将高防回源IP段添加到源站的防火墙或其它防护软件的白名单中。

步骤五:验证接入状态

  1. 登录AAD服务控制台
  2. 在左侧导航栏选择DDoS高防 > 域名接入,进入“域名接入”页面。

    图2 域名接入页

  3. 在目标域名的“CNAME”列,单击,复制域名的CNAME值。
  4. 打开Telnet,执行以下命令,测试已接入DDoS高防的源站IP是否能成功建立连接。

    telnet 源站IP 80

    以源站IP对外开放的80端口为例。

    • 如果可以连通,则说明Telnet公网地址在本机网络环境可用。
    • 如果无法连通,则需要更换本地测试机网络环境,因为某些企业网有可能配置过内部网络限制。例如连接手机Wi-Fi热点以切换为运营商网络。

  5. 执行以下命令,测试域名接入DDoS高防配置是否正确。

    telnet 3中的CNAME值 80
    • 如果可以连通,说明配置成功。
    • 如果无法连通,请确认域名参数是否配置正确。

    如您需测试防护域名是否配置正确,请参见:接入防护域名后,如何测试防护域名是否配置正确?

    如您需验证WAF基础防护是否正确开启,请参见:WAF本地验证

步骤六:更改DNS解析到高防CNAME

  1. 登录AAD服务控制台
  2. 在左侧导航栏选择DDoS高防 > 域名接入,进入“域名接入”页面。

    图3 域名接入页

  3. 在目标域名的“CNAME”列,单击,复制域名的CNAME值。
  4. 单击页面左上方的,选择网络 > 云解析服务 DNS
  5. 参考添加CNAME类型记录集完成CNAME接入。

相关操作

相关文档