更新时间:2024-12-05 GMT+08:00

步骤一:配置防护域名(网站类)

对于网站类业务,购买DDoS高防后,您需要将防护域名配置到DDoS高防,使业务通过CNAME解析的方式接入高防IP。

如果您已开通企业项目,您可以在“企业项目”下拉列表中选择您所在的企业项目,在该企业项目下选择高防实例与线路。

前提条件

  • 已成功购买高防实例。
  • 防护域名已备案。

规格限制

每个用户最多可以接入50个域名,支持批量添加防护域名。

约束条件

  • “源站域名”当前仅支持配置为华为云WAF的CNAME
  • DDoS高防当前仅支持PEM格式证书。
  • CNAME值是根据域名生成的,对于同一个域名,其CNAME值是一致的。
  • DDoS高防支持Web Socket协议,且默认为开启状态。
  • 一个域名可以选择多条线路(高防IP),选择多个高防IP时请确保各高防IP所配置的转发规则个数以及转发规则的转发协议、转发端口和业务类型保持一致。

操作步骤

  1. 登录管理控制台
  2. 在页面上方选择“区域”后,单击页面左上方的,选择安全与合规 > DDoS防护 AAD,进入“Anti-DDoS流量清洗”界面。
  3. 在左侧导航栏选择DDoS高防 > 域名接入,进入“域名接入”页面。

    图1 域名接入页

  4. 在域名列表左上方,单击“添加域名”
  5. 在添加域名界面配置域名信息,如图2所示,相关参数说明如表1所示。

    图2 配置网站类域名信息
    表1 域名配置参数说明

    参数名称

    说明

    示例

    防护域名

    用户的实际业务对外提供服务所使用的域名。

    • 单域名:输入防护的单域名。例如:www.example.com。
    • 泛域名
      • 如果各子域名对应的服务器IP地址相同:输入防护的泛域名。例如:子域名a.example.com,b.example.com和c.example.com对应的服务器IP地址相同,可以直接添加泛域名*.example.com。
      • 如果各子域名对应的服务器IP地址不相同:请将子域名按“单域名”方式逐条添加。

    单域名:www.example.com

    泛域名:*.example.com

    源站类型

    待添加防护域名的源站的类型。

    • 源站IP:真实服务器的公网IP地址,最多可输入20个IP地址,IP地址间以“,”分隔。
    • 源站域名

      当前仅支持华为云WAF CNAME

    • 转发协议

      DDoS高防转发客户端(例如浏览器)请求的协议类型。包括“HTTP”“HTTPS”两种协议类型。

    • 源站端口

      DDoS高防转发客户端请求到服务器的业务端口

    须知:
    • 如果待添加域名与其它域名使用同一个高防IP(高防线路)与协议/端口,待添加域名和其它域名的“源站类型”必须保持一致,且注意:
      • 如果其他域名的“源站类型”“源站IP”,请确保其它域名已开启Web攻击防护,详细操作请参考开启WEB基础防护和CC防护
      • 如果其他域名的“源站类型”“源站域名”,请确保其它域名与待添加域名是在同一个WAF区域接入的WAF防护。
      • 不要在WAF侧修改或删除接入的第一个源站CNAME信息,如需修改或删除,应先在高防侧删除相应域名信息后,再修改或删除WAF侧的域名信息。
    • 如果“源站类型”选择“源站域名”,请确保您的业务在接入WAF时选择了使用代理,否则接入高防后会导致业务不通。
    • 华为云WAF接入DDoS高防后,如果后续您的业务需要拆除WAF防护,请首先把业务从DDoS高防拆除。

    源站IP:XXX.XXX.1.1

    转发协议:HTTP

    源站端口:80

    证书

    “源站类型”选择“源站IP”“转发协议”选择“HTTPS”时,需要上传证书。有关上传证书的详细操作,请参见6

    -

  6. (可选)上传证书。

    “源站类型”选择“源站IP”“转发协议”选择“HTTPS”时,您需要导入证书。

    您可以在“证书”下拉列表框中选择已有证书,或上传新证书。

    上传新证书的操作步骤如下。

    1. 单击“上传”,在弹出的“上传证书”对话框中,选择证书上传方式。
      • 手动上传:输入证书名称,粘贴证书和私钥文本内容,如图3所示,相关参数说明如表2所示。
      • 自动拉取:选择已签发的证书。

      建议证书名称长度不超过10个字符,且不包括特殊字符。

      图3 上传证书
      • 当前只支持TLS 1.0、TLS 1.1、TLS 1.2版本证书的上传。
      • 当前仅支持PEM格式证书。
      • 同一用户的证书名不可重复。
      表2 证书参数说明

      参数名称

      说明

      证书文件

      • 证书输入格式如下:
        -----BEGIN CERTIFICATE-----
        MIIDljCCAv+gAwIBAgIJAMD2jG2tYGQ6MA0GCSqGSIb3DQEBBQUAMIGPMQswCQYD
        VQQGEwJDSDELMAkGA1UECBMCWkoxCzAJBgNVBAcTAkhaMQ8wDQYDVQQKEwZodWF3
        ZWkxDzANBgNVBAsTBmh1YXdlaTEPMA0GA1UEAxMGaHVhd2VpMQ8wDQYDVQQpEwZz
        ZXJ2ZXIxIjAgBgkqhkiG9w0BCQEWE3p3YW5nd2VpZGtkQDE2My5jb20wHhcNMTUw
        MzE4MDMzNjU5WhcNMjUwMzE1MDMzNjU5WjCBjzELMAkGA1UEBhMCQ0gxCzAJBgNV
        BAgTAlpKMQswCQYDVQQHEwJIWjEPMA0GA1UEChMGaHVhda2VpMQ8wDQY......
        -----END CERTIFICATE-----
      • 证书文件内容的复制方法:
        • PEM格式证书:用文本编辑器直接打开进行复制。
        • 非PEM格式证书:先转换成PEM格式,再用文本编辑器直接打开进行复制。

      私钥文件

      私钥输入格式如下:

      -----BEGIN RSA PRIVATE KEY-----
      MIIDljCCAv+gAwIBAgIJAMD2jG2tYGQ6MA0GCSqGSIb3DQEBBQUAMIGPMQswCQYDVQQG
      EwJDSDELMAkGA1UECBMCWkoxCzAJBgNVBAcTAkhaMQ8wDQYDVQQKEwZodWF3ZWkxDzAN
      BgNVBAsTBmh1YXdlaTEPMA0GA1UEAxMGaHVhd2VpMQ8wDQYDVQQpEwZzZXJ2ZXIxIjAg
      BgkqhkiG9w0BCQEWE3poYW5nd2VpZGtkQDE2My5jb20wHhcNMTUwMzE4MDMzNjU5WhcN
      MjUwMzE1MDMzNjU5WjCBjzELMAkGA1UEBhMCQ0gxCzAJBgNVBAgTAlpKMQswCQYDVQQH
      EwJIWjEPMA0GA1UEChMGaHVhd2VpMQ8wDQYDVQQLEwZ
      -----END RSA PRIVATE KEY-----
      • 私钥文件内容的复制方法:
        • PEM格式证书:用文本编辑器直接打开进行复制。
        • 非PEM格式证书:先转换成PEM格式,再用文本编辑器直接打开进行复制。
    2. 单击“确定”

  7. 单击“下一步”,选择高防实例与线路,如图4所示。

    图4 选择高防实例与线路
    • 一个域名可以选择多条线路(高防IP),选择多个高防IP时请确保各高防IP所配置的转发规则个数以及转发规则的转发协议、转发端口和业务类型保持一致。

  8. 单击“提交并继续”,弹出如图5所示界面。

    建议您单击“下一步”,跳过本步骤,后续参照步骤四:修改DNS解析完成DNS解析配置。
    图5 修改DNS解析

  1. 单击“完成”,完成防护域名配置。

    域名配置完成,系统跳转至“域名接入”界面,您可以在域名列表中查看添加的防护域名。

    图6 高防回源IP段

    如果源站已配置防火墙或安装安全软件,请将高防回源IP地址段添加到源站的防火墙、ACL或者其他任何安全软件,即对回源IP段设置为放行,以确保高防的回源IP不受源站安全策略影响。有关放行回源IP的详细操作,请参见步骤二:放行高防回源IP段

    DDoS高防会替换真实用户IP并且将客户业务的访问流量汇聚到高防回源IP。
    • 在没有启用DDoS高防时:对于源站来说真实客户端的地址是非常分散的,且正常情况下每个源IP的请求量都不大。
    • 在启用DDoS高防后:由于高防回源的IP段固定且有限,对于源站来说所有的请求都是来自高防回源IP段,因此分摊到每个回源IP上的请求量会增大很多(可能被误认为回源IP在对源站进行攻击)。此时,如果源站有其它防御DDoS的安全策略,很可能对回源IP进行拦截或者限速。例如,最常见的502错误。

后续处理

配置防护域名后,建议您本地验证域名参数配置正确,详细操作请参见步骤三:本地验证(网站类)

相关操作

  • 如果域名不需要解析到某个高防IP时,可以在该域名所在行的“实例和线路”列,单击“查看详情”。选择域名的高防IP,单击,将“域名解析”状态设置为
  • 如果不需要防护某个域名时,可以在该域名所在行的“操作”列,单击“删除”,删除该域名。