升级使用DDoS高防服务
应用场景
DDoS原生防护提供的安全防护能力可能无法完全满足您的DDoS防护需求时,建议您升级使用DDoS高防服务。DDoS高防能够有效抵御和清洗攻击流量,提升安全防护能力,保护您的业务不受影响,确保服务的稳定性和可用性。
约束与限制
- 业务服务器在中国内地,推荐购买DDoS高防。使用DDoS高防,域名必须经过ICP备案,未备案域名将无法正常访问。
- 业务服务器在中国内地以外的地域,请提交工单咨询方案。
前提条件
- 请保证账户有足够的资金,防止购买实例失败。具体操作请参见账户充值。
- 请确保已为账号赋予相关权限。具体操作请参见创建用户并授权使用AAD。
- 参考购买弹性云服务器创建一台ECS服务器。
资源与成本规划
| 资源 | 资源说明 | 数量 | 成本说明 |
|---|---|---|---|
| 弹性云服务器 | 绑定EIP。 | 1 | ECS的计费方式及标准请参考ECS计费说明。 |
| DDoS高级 | 用于提供DDoS攻击防护。 | 1 | DDoS高防的计费方式及标准请参考DDoS防护AAD计费说明。 |
步骤一:购买高级防护实例
- 登录AAD服务控制台。
- 在界面右上角,单击“购买DDoS防护”,进入“购买DDoS防护”页面。
- 在“购买DDoS防护”界面,配置以下参数,其他参数保持默认或根据需求选择。
- 实例类型:DDoS高防
- 接入类型:网站类
- 防护区域:中国大陆
- 单击“立即购买”。
- 在“订单详情”页面,勾选协议后,单击“去支付”。
- 在支付界面完成订单支付。
详细操作请参见购买高防实例。
步骤二:域名接入DDoS高防
- 登录AAD服务控制台。
- 在左侧导航栏选择,进入“域名接入”页面。
- 在域名列表上方,单击“添加域名”。
- 在添加域名界面配置以下参数,其他参数保持默认或者根据需求选择。
- 域名类型:网站类
- 源站类型:源站IP
- (可选)上传证书。
“源站类型”选择“源站IP”且“转发协议”选择“HTTPS”时,您需要导入证书。
您可以在“证书”下拉列表框中选择已有证书,或上传新证书。
上传新证书的操作步骤如下。
- 单击“上传”,在弹出的“上传证书”对话框中,选择证书上传方式。
建议证书名称长度不超过10个字符,且不包括特殊字符。
- 手动上传:输入证书名称,粘贴证书和私钥文本内容。
- 自动拉取:选择已签发的证书。
- 当前只支持TLS 1.0、TLS 1.1、TLS 1.2版本证书的上传。
- 当前仅支持PEM格式证书。
- 同一用户的证书名不可重复。
表2 证书参数说明 参数名称
说明
证书文件
- 证书输入格式如下:
-----BEGIN CERTIFICATE----- MIIDljCCAv+gAwIBAgIJAMD2jG2tYGQ6MA0GCSqGSIb3DQEBBQUAMIGPMQswCQYD VQQGEwJDSDELMAkGA1UECBMCWkoxCzAJBgNVBAcTAkhaMQ8wDQYDVQQKEwZodWF3 ZWkxDzANBgNVBAsTBmh1YXdlaTEPMA0GA1UEAxMGaHVhd2VpMQ8wDQYDVQQpEwZz ZXJ2ZXIxIjAgBgkqhkiG9w0BCQEWE3p3YW5nd2VpZGtkQDE2My5jb20wHhcNMTUw MzE4MDMzNjU5WhcNMjUwMzE1MDMzNjU5WjCBjzELMAkGA1UEBhMCQ0gxCzAJBgNV BAgTAlpKMQswCQYDVQQHEwJIWjEPMA0GA1UEChMGaHVhda2VpMQ8wDQY...... -----END CERTIFICATE-----
- 证书文件内容的复制方法:
- PEM格式证书:用文本编辑器直接打开进行复制。
- 非PEM格式证书:先转换成PEM格式,再用文本编辑器直接打开进行复制。 说明:
证书转换方法请参考如何将非PEM格式的证书转换为PEM格式?。
私钥文件
私钥输入格式如下:
-----BEGIN RSA PRIVATE KEY----- MIIDljCCAv+gAwIBAgIJAMD2jG2tYGQ6MA0GCSqGSIb3DQEBBQUAMIGPMQswCQYDVQQG EwJDSDELMAkGA1UECBMCWkoxCzAJBgNVBAcTAkhaMQ8wDQYDVQQKEwZodWF3ZWkxDzAN BgNVBAsTBmh1YXdlaTEPMA0GA1UEAxMGaHVhd2VpMQ8wDQYDVQQpEwZzZXJ2ZXIxIjAg BgkqhkiG9w0BCQEWE3poYW5nd2VpZGtkQDE2My5jb20wHhcNMTUwMzE4MDMzNjU5WhcN MjUwMzE1MDMzNjU5WjCBjzELMAkGA1UEBhMCQ0gxCzAJBgNVBAgTAlpKMQswCQYDVQQH EwJIWjEPMA0GA1UEChMGaHVhd2VpMQ8wDQYDVQQLEwZ -----END RSA PRIVATE KEY-----
- 私钥文件内容的复制方法:
- PEM格式证书:用文本编辑器直接打开进行复制。
- 非PEM格式证书:先转换成PEM格式,再用文本编辑器直接打开进行复制。 说明:
证书转换方法请参考如何将非PEM格式的证书转换为PEM格式?。
- 单击“确定”。
- 单击“上传”,在弹出的“上传证书”对话框中,选择证书上传方式。
- 单击“下一步”,选择高防实例与线路。
一个域名可以选择多条线路(高防IP),选择多个高防IP时请确保各高防IP所配置的转发规则个数以及转发规则的转发协议、转发端口和业务类型保持一致。
- 单击“提交并继续”,弹出修改DNS解析所示界面。
建议您单击“下一步”,跳过本步骤,后续参照步骤六:更改DNS解析到高防CNAME完成DNS解析配置。
步骤三:设置防护策略
此处以“区域封禁”策略为例。更多防护策略配置请参考配置防护策略。
- 登录AAD服务控制台。
- 在左侧导航栏选择,进入DDoS高防“防护策略”页面。
- 选择需要配置区域封禁的实例。
- 在区域封禁配置框中单击“设置”。
- 在弹出的对话框中,选择需要设置区域封禁的路线,并且勾选需要封禁的区域。 图1 区域封禁设置
- 单击“确定”,完成区域封禁设置。
步骤四:放行高防回源IP段
- 登录AAD服务控制台。
- 在左侧导航栏选择,进入“域名接入”页面。
- 在域名列表上方,单击“高防回源IP段”。
- 在弹出的“高防回源IP段”对话框中,查看高防回源IP段信息。
- 将高防回源IP段添加到源站的防火墙或其它防护软件的白名单中。
步骤五:验证接入状态
- 登录AAD服务控制台。
- 在左侧导航栏选择,进入“域名接入”页面。 图2 域名接入页
- 在目标域名的“CNAME”列,单击
,复制域名的CNAME值。 - 打开Telnet,执行以下命令,测试已接入DDoS高防的源站IP是否能成功建立连接。
telnet 源站IP 80
以源站IP对外开放的80端口为例。
- 如果可以连通,则说明Telnet公网地址在本机网络环境可用。
- 如果无法连通,则需要更换本地测试机网络环境,因为某些企业网有可能配置过内部网络限制。例如连接手机Wi-Fi热点以切换为运营商网络。
- 执行以下命令,测试域名接入DDoS高防配置是否正确。 telnet 3中的CNAME值 80
- 如果可以连通,说明配置成功。
- 如果无法连通,请确认域名参数是否配置正确。
步骤六:更改DNS解析到高防CNAME
- 登录AAD服务控制台。
- 在左侧导航栏选择,进入“域名接入”页面。 图3 域名接入页
- 在目标域名的“CNAME”列,单击
,复制域名的CNAME值。 - 单击页面左上方的
,选择。 - 参考添加CNAME类型记录集完成CNAME接入。