步骤一:配置防护域名(网站类)
对于网站类业务,购买DDoS高防后,您需要将防护域名配置到DDoS高防,使业务通过CNAME解析的方式接入高防IP。
如果您已开通企业项目,您可以在“企业项目”下拉列表中选择您所在的企业项目,在该企业项目下选择高防实例与线路。
前提条件
- 已成功购买高防实例。
- 防护域名已备案。
规格限制
每个用户最多可以接入50个域名,支持批量添加防护域名。
约束条件
- “源站域名”当前仅支持配置为华为云WAF的CNAME。
- DDoS高防当前仅支持PEM格式证书。
- CNAME值是根据域名生成的,对于同一个域名,其CNAME值是一致的。
- DDoS高防支持Web Socket协议,且默认为开启状态。
- 一个域名可以选择多条线路(高防IP),选择多个高防IP时请确保各高防IP所配置的转发规则个数以及转发规则的转发协议、转发端口和业务类型保持一致。
操作步骤
- 登录管理控制台。
- 在页面上方选择“区域”后,单击页面左上方的,选择 ,进入“Anti-DDoS流量清洗”界面。
- 在左侧导航栏选择“域名接入”页面。
,进入图1 域名接入页
- 在域名列表左上方,单击“添加域名”。
- 在添加域名界面配置域名信息,如图2所示,相关参数说明如表1所示。
表1 域名配置参数说明 参数名称
说明
示例
防护域名
用户的实际业务对外提供服务所使用的域名。
- 单域名:输入防护的单域名。例如:www.example.com。
- 泛域名
- 如果各子域名对应的服务器IP地址相同:输入防护的泛域名。例如:子域名a.example.com,b.example.com和c.example.com对应的服务器IP地址相同,可以直接添加泛域名*.example.com。
- 如果各子域名对应的服务器IP地址不相同:请将子域名按“单域名”方式逐条添加。
单域名:www.example.com
泛域名:*.example.com
源站类型
待添加防护域名的源站的类型。
- 源站IP:真实服务器的公网IP地址,最多可输入20个IP地址,IP地址间以“,”分隔。
- 源站域名
- 转发协议
- 源站端口
须知:- 如果待添加域名与其它域名使用同一个高防IP(高防线路)与协议/端口,待添加域名和其它域名的“源站类型”必须保持一致,且注意:
- 如果其他域名的“源站类型”为“源站IP”,请确保其它域名已开启Web攻击防护,详细操作请参考开启WEB基础防护和CC防护。
- 如果其他域名的“源站类型”为“源站域名”,请确保其它域名与待添加域名是在同一个WAF区域接入的WAF防护。
- 不要在WAF侧修改或删除接入的第一个源站CNAME信息,如需修改或删除,应先在高防侧删除相应域名信息后,再修改或删除WAF侧的域名信息。
- 如果“源站类型”选择“源站域名”,请确保您的业务在接入WAF时选择了使用代理,否则接入高防后会导致业务不通。
- 华为云WAF接入DDoS高防后,如果后续您的业务需要拆除WAF防护,请首先把业务从DDoS高防拆除。
源站IP:XXX.XXX.1.1
转发协议:HTTP
源站端口:80
证书
“源站类型”选择“源站IP”且“转发协议”选择“HTTPS”时,需要上传证书。有关上传证书的详细操作,请参见6。
-
- (可选)上传证书。
“源站类型”选择“源站IP”且“转发协议”选择“HTTPS”时,您需要导入证书。
您可以在“证书”下拉列表框中选择已有证书,或上传新证书。
上传新证书的操作步骤如下。
- 单击“上传”,在弹出的“上传证书”对话框中,选择证书上传方式。
建议证书名称长度不超过10个字符,且不包括特殊字符。
- 当前只支持TLS 1.0、TLS 1.1、TLS 1.2版本证书的上传。
- 当前仅支持PEM格式证书。
- 同一用户的证书名不可重复。
表2 证书参数说明 参数名称
说明
证书文件
- 证书输入格式如下:
-----BEGIN CERTIFICATE----- MIIDljCCAv+gAwIBAgIJAMD2jG2tYGQ6MA0GCSqGSIb3DQEBBQUAMIGPMQswCQYD VQQGEwJDSDELMAkGA1UECBMCWkoxCzAJBgNVBAcTAkhaMQ8wDQYDVQQKEwZodWF3 ZWkxDzANBgNVBAsTBmh1YXdlaTEPMA0GA1UEAxMGaHVhd2VpMQ8wDQYDVQQpEwZz ZXJ2ZXIxIjAgBgkqhkiG9w0BCQEWE3p3YW5nd2VpZGtkQDE2My5jb20wHhcNMTUw MzE4MDMzNjU5WhcNMjUwMzE1MDMzNjU5WjCBjzELMAkGA1UEBhMCQ0gxCzAJBgNV BAgTAlpKMQswCQYDVQQHEwJIWjEPMA0GA1UEChMGaHVhda2VpMQ8wDQY...... -----END CERTIFICATE-----
- 证书文件内容的复制方法:
- PEM格式证书:用文本编辑器直接打开进行复制。
- 非PEM格式证书:先转换成PEM格式,再用文本编辑器直接打开进行复制。
私钥文件
私钥输入格式如下:
-----BEGIN RSA PRIVATE KEY----- MIIDljCCAv+gAwIBAgIJAMD2jG2tYGQ6MA0GCSqGSIb3DQEBBQUAMIGPMQswCQYDVQQG EwJDSDELMAkGA1UECBMCWkoxCzAJBgNVBAcTAkhaMQ8wDQYDVQQKEwZodWF3ZWkxDzAN BgNVBAsTBmh1YXdlaTEPMA0GA1UEAxMGaHVhd2VpMQ8wDQYDVQQpEwZzZXJ2ZXIxIjAg BgkqhkiG9w0BCQEWE3poYW5nd2VpZGtkQDE2My5jb20wHhcNMTUwMzE4MDMzNjU5WhcN MjUwMzE1MDMzNjU5WjCBjzELMAkGA1UEBhMCQ0gxCzAJBgNVBAgTAlpKMQswCQYDVQQH EwJIWjEPMA0GA1UEChMGaHVhd2VpMQ8wDQYDVQQLEwZ -----END RSA PRIVATE KEY-----
- 私钥文件内容的复制方法:
- PEM格式证书:用文本编辑器直接打开进行复制。
- 非PEM格式证书:先转换成PEM格式,再用文本编辑器直接打开进行复制。
- 单击“确定”。
- 单击“上传”,在弹出的“上传证书”对话框中,选择证书上传方式。
- 单击“下一步”,选择高防实例与线路,如图4所示。
- 一个域名可以选择多条线路(高防IP),选择多个高防IP时请确保各高防IP所配置的转发规则个数以及转发规则的转发协议、转发端口和业务类型保持一致。
- 单击“提交并继续”,弹出如图5所示界面。
- 单击“完成”,完成防护域名配置。
域名配置完成,系统跳转至“域名接入”界面,您可以在域名列表中查看添加的防护域名。
图6 高防回源IP段
如果源站已配置防火墙或安装安全软件,请将高防回源IP地址段添加到源站的防火墙、ACL或者其他任何安全软件,即对回源IP段设置为放行,以确保高防的回源IP不受源站安全策略影响。有关放行回源IP的详细操作,请参见步骤二:放行高防回源IP段。
DDoS高防会替换真实用户IP并且将客户业务的访问流量汇聚到高防回源IP。- 在没有启用DDoS高防时:对于源站来说真实客户端的地址是非常分散的,且正常情况下每个源IP的请求量都不大。
- 在启用DDoS高防后:由于高防回源的IP段固定且有限,对于源站来说所有的请求都是来自高防回源IP段,因此分摊到每个回源IP上的请求量会增大很多(可能被误认为回源IP在对源站进行攻击)。此时,如果源站有其它防御DDoS的安全策略,很可能对回源IP进行拦截或者限速。例如,最常见的502错误。
后续处理
配置防护域名后,建议您本地验证域名参数配置正确,详细操作请参见步骤三:本地验证(网站类)。
相关操作
- 如果域名不需要解析到某个高防IP时,可以在该域名所在行的“实例和线路”列,单击“查看详情”。选择域名的高防IP,单击,将“域名解析”状态设置为。
- 如果不需要防护某个域名时,可以在该域名所在行的“操作”列,单击“删除”,删除该域名。