文档简介:
网站类业务购买DDoS高防(边缘云版)产品后需要通过CNAME解析方式接入,将攻击流量引流到DDoS高防(边缘云版),可以达到隐藏源站目的,在遭受大流量DDoS攻击时保障源站服务器的稳定可靠。您可以参考本文中的接入配置和防护策略最佳实践,使用DDoS高防(边缘云版)更好地保护您的业务。
接入配置流程概述
正常情况下业务接入需要参照以下三个步骤进行配置。若业务遭受攻击时紧急接入,在接入配置前建议联系天翼云安全专家进行评估后协助接入,联系方式详见服务保障。
步骤1:自身业务梳理
首先,建议您在接入DDoS高防(边缘云版)前对待接入的业务进行全面梳理,在了解当前业务状况和具体数据的基础上,能更好地使用DDoS高防(边缘云版)提供的各类防护策略进行业务防护。
| 梳理项 | 说明 | 操作建议 |
|---|---|---|
| 网站和业务信息 | ||
| 网站或应用业务每天的流量带宽峰值情况,包括Mbps | 根据日常业务高峰判定风险时间段 | 若有接入CDN可从CDN流量分析统计获取相应业务数据,作为DDoS高防(边缘云版)的业务带宽评估和购买套餐的选择依据。 |
| 业务的主要受众群体(如访问用户的主要地理区域信息) | 判断非法攻击来源。 | 方便根据地理区域信息配置防护策略。 |
| 源站是否部署在非中国内地地域 | 判断业务实例是否符合最佳网络架构。 | 可在后续选择资源池防护时提供指导依据。 |
| 请求协议(如HTTPS) | 无 | 若业务使用HTTPS协议需要上传证书。 |
| 业务端口 | 判断源站使用的端口是否在DDoS支持的范围内 | 无。 |
| 业务是否需要支持IPv6协议 | 根据源站服务器网络架构及业务开通情况判断是否需要支持IPv6 | 如果您的业务需要支持IPv6协议,可在域名接入配置中选择开启IPv6支持。 |
| 源站服务器的操作系统及所使用的Web服务中间件(Nginx、IIS等) | 判断源站服务器是否存在防火墙ACL访问控制策略,避免源站误拦截DDoS高防(边缘云版)回源IP转发的流量。 | 如果有,需要在源站上设置放行DDoS高防(边缘云版)的回源IP。 |
| 业务是否存在空连接 | 例如,服务器主动发送数据包防止会话中断这类情况接入DDoS高防(边缘云版)后可能影响正常业务。 | 无。 |
| 业务交互过程 | 了解业务交互过程及其处理逻辑,以便后续配置针对性防护策略。 | 无。 |
| 业务及攻击情况 | ||
| 业务类型及业务特征(例如,游戏、棋牌、网站、App等业务) | 便于在后续攻防过程中分析攻击特征。 | 无。 |
| 业务流量(入方向) | 帮助后续判断是否包含恶意流量。 | 无。 |
| 业务流量(出方向) | 帮助后续判断是否遭受攻击,并且作为是否需要额外业务带宽扩展的参考依据。 | 无。 |
| 单IP的入方向流量范围和连接情况 | 帮助后续判断是否可针对单个IP制定限速策略。 | |
| 业务是否遭受过大流量攻击及攻击类型 | 根据历史遭受的攻击类型,设置针对性的DDoS防护策略。 | 无。 |
| 业务遭受过最大的攻击流量峰值 | 根据攻击流量峰值判断DDoS高防(边缘云版)功能规格的选择。 | 无。 |
| 业务是否遭受过CC攻击及最大攻击峰值 | 通过分析历史攻击特征,配置CC防御策略。 | 更多信息可参见CC防护最佳实践。 |
| 业务是否提供API接口服务 | 无。 | 提供信息为配置访问策略作为指导依据。 |
| 业务是否已完成压力测试 | 评估源站服务器的请求处理性能,作为后续业务异常判断条件之一。 | 无。 |
步骤2:准备工作
| 重点:在将业务接入DDoS高防(边缘云版)时,强烈建议您先使用测试业务环境进行测试,测试通过后再正式接入生产业务环境。 |
|---|
接入DDoS高防(边缘云版)前,您需要完成以下准备工作。
- 准备需要接入的网站域名信息,包括源站服务器公网IP、端口、请求协议等信息。
- 网站域名必须已完成ICP备案。
- 需要具备域名解析服务商添加TXT记录值权限或源站管理权限,以便完成域名归属校验。更多信息,请参见域名归属权校验指南。
- 需要具备DNS域名解析管理权限,用于切换DNS解析记录,以便接入后将网站流量引流到DDoS高防(边缘云版)。
- 若网站支持HTTPS协议访问,需要准备相应的证书和私钥信息,用于证书上传。更多信息,请参见证书管理。
- 检查网站业务是否有客户端黑白名单限制。业务接入后需要配置防护策略放行或拉黑相应的客户端IP。
- 推荐网站业务接入前,完成压力测试。
步骤3:接入DDoS高防(边缘云版)
- 业务接入配置。
| 说明:如果在接入DDoS高防(边缘云版)前业务已遭受攻击,建议您更换源站服务器IP。更换IP前,请务必确认业务端是否存在直接指向源站IP的相关代码,若存在需要调整代码或配置,避免影响业务正常访问。 |
|---|
根据您的业务信息及流量请求购买相应的DDoS高防(边缘云版)套餐,并根据以上准备信息配合以下接入配置指导,将您的网站域名业务接入DDoS高防(边缘云版): 添加域名。或参见视频接入指导: DDoS高防(边缘云版)域名接入。
- 配置源站保护。
为避免恶意攻击者绕过DDoS高防(边缘云版)直接攻击源站服务器,建议您针对源站服务器采取相应安全配置。
- 配置防护策略。
根据您的业务特征及攻击情况配置对应的防护策略。
CC攻击防护:若您的业务有遭受CC攻击的情况,可配置CC攻击防护策略。更多信息,请参见CC防护最佳实践。
访问配置-访问限制:若您的业务受众群体物理位置区域相对集中或仅面向中国区域,可在访问控制防护模块配置相应的防护规则进行限制。更多信息,请参见访问控制。
访问配置-频率控制:若您的业务存在单url请求或单ip等需要限制访问频率,可在频率控制模块配置相应的防护规则进行限制。更多信息,请参见访问控制。
- 本地测试。
完成上述DDoS高防(边缘云版)配置后,建议您进行配置准确性检查和验证测试。
| 说明:您可以通过修改本地系统hosts文件的方式进行本地测试。 |
|---|
| 编号 | 检查项 |
|---|---|
| 网站域名配置准确性检查项 | |
| 1 | 接入配置域名是否填写正确。 |
| 2 | 接入配置协议及服务端口是否与实际一致。 |
| 3 | 源站填写的IP是否是真实服务器IP。 |
| 4 | 若使用HTTPS检查证书是否上传成功。 |
| 5 | 是否开启频率控制、访问控制的防护规则严格模式。 |
| 6 | 查看计费详情,检查是否了解DDoS高防(边缘云版)的计费方式。 |
| 业务可用性验证项 | |
| 1 | 测试业务是否能够正常访问。 |
| 2 | 观察业务返回4XX和5XX响应码的次数,确保回源IP未被拦截。 |
| 3 | 测试HTTPS链路访问是否正常。 |
| 4 | (建议项)是否配置源站保护,防止攻击者绕过DDoS高防(边缘云版)直接攻击源站。 |
| 5 | 测试TCP业务的端口是否可以正常访问。 |
- 切换DNS解析,引流业务流量。
| 说明:调整DNS解析记录需要几分钟后生效,可使用dig命令等确认是否已生效。 |
|---|
以上检查均测试通过后,可开始按域名逐个切换调整DNS解析记录,将网站流量引流到DDoS高防(边缘云版),并实时观察监测。若切换流量后出现异常,请快速恢复DNS解析记录。
- 告警监控。
建议您根据业务情况在告警模块配置相应的告警策略,以便及时了解业务运行情况和发现异常现象。
服务保障
您在业务接入DDoS高防(边缘云版)过程中遇到任何问题,可通过工单或服务热线方式联系天翼云安全专家。
安全专家将针对您的业务特征,结合业务攻击情况进行相应评估,基于业务实际情况指导您进行防护策略配置,更好帮助您使用DDoS高防(边缘云版)保护您的网站安全。
