本文档介绍了网站类业务用户如何将业务接入 DDoS 高防 IP 实例并验证转发配置。
说明:
目前网站业务支持北京、上海、广州地区接入,暂不支持境外区域。
前提条件
在添加转发规则前,您需要成功 购买 DDoS 高防 IP 实例。
在修改业务域名 DNS 信息前,您需要成功购买域名解析产品,例如腾讯云的 DNS 解析 DNSPod。
操作流程
操作步骤
配置转发规则
1. 登录 DDoS 防护管理控制台,在左侧导航栏选择 DDoS 高防 IP > 接入配置。
2. 在接入配置页面,单击网站业务,查找并选择目标 DDoS 高防 IP 实例,添加转发规则。
单个添加转发规则:
2.1 单击新建。
2.2 在添加转发规则页面中,根据实际需求配置如下参数,单击确定。
域名:填写需要配置防护的网站域名。
协议:支持 HTTP 和 HTTPS,请根据实际业务需求勾选:
业务场景 | 相关操作 |
只包含 HTTP 协议的网站 | 勾选 HTTP。 |
只包含 HTTPS 协议的网站 | 勾选 HTTPS。 证书来源:默认选择腾讯云托管证书。 证书:选择对应的 SSL 证书名称。 |
回源方式:支持 IP 回源和域名回源。
根据回源方式填写源站 IP 或源站域名:
若勾选 IP 回源,则填写源站服务器的 IP (或 IP + 端口)。一个网站域名对应多个源站 IP(或 IP + 端口)时,可全部填入并用回车分隔多个 IP(或 IP + 端口),最多支持16个 IP(或 IP + 端口)。
若勾选域名回源,则填写回源域名(CNAME)或域名(CNAME)+端口。一个网站域名对应多个源站域名(CNAME)或域名(CNAME)+端口时,可全部填入并用回车分隔多个域名(CNAME)或域名(CNAME)+端口,最多支持16个域名(CNAME)或域名(CNAME)+端口。
批量添加转发规则:
2.1 选择批量导入 > 导入转发规则。
2.2 在批量导入页面的规则输入框中,粘贴需要导入的规则。
注意:
粘贴内容从左至右依次是域名、协议、源站 IP(暂不支持源站域名)、源站端口。源站 IP 与源站端口之间以英文“:”分隔,其它的中间由空格分隔。一行只能填写一条转发规则。
批量添加的转发规则条目数不允许超过当前配额。
放行回源 IP 段
为了避免源站拦截 DDoS 高防 IP 的回源 IP 而影响业务,建议在源站的防火墙、Web 应用防火墙、IPS 入侵防护系统、流量管理等硬件设备上设置白名单策略,将源站的主机防火墙和其他任何安全类的软件(如安全狗等)的防护功能关闭或设置白名单策略,确保高防的回源 IP 不受源站安全策略的影响。
用户可以通过登录 DDoS 防护管理控制台,在左侧导航栏选择 DDoS 高防 IP > 资产列表,找到目标 DDoS 高防 IP 实例所在行,单击“ID/名称”,在弹出的“基础信息”页面中查看详细的高防 IP 回源地址段。
本地验证配置
转发配置完成后,DDoS 高防 IP 实例的高防 IP 将按照转发规则将相关端口的报文转发到源站的对应端口。
为了最大程度保证业务的稳定,建议在全面切换业务之前先进行本地测试。具体的验证方法如下:
1. 修改本地 hosts 文件,使本地对于被防护站点的请求经过高防。
以Windows操作系统为例:
1.1 打开本地计算机 C:\\Windows\\System32\\drivers\\etc 路径下的 hosts 文件,在文末添加如下内容:
<高防 IP 地址> <被防护网站的域名>
例如高防 IP 为10.1.1.1,域名为 www.qq.com ,则添加:
10.1.1.1 www.qq.com1.2 保存 hosts 文件。
2. 在本地计算机对被防护的域名运行
ping 命令。
当解析到的 IP 地址是 hosts 文件中绑定的高防 IP 地址时,说明转发成功。说明:
若解析到的 IP 地址依然是源站地址,可尝试在 Windows 的命令提示符中运行 ipconfig/flushdns 命令刷新本地的 DNS 缓存。
3. 确认 hosts 绑定已经生效后,使用域名进行验证。
若能正常访问则说明配置已经生效。
说明:
修改业务域名 DNS 解析
使用 DDoS 高防 IP 防护前,需要将业务域名 DNS 的 A 记录更换为高防 IP 地址,使所有用户访问网站的流量都先经过高防 IP 再回到源站(即先将所有流量都牵引到高防 IP 再回到源站)。
说明:
不同域名解析产品的配置原理相同,具体配置步骤可能有细微差别,本文以使用腾讯云域名解析产品为例。
1. 登录 DNS 解析 DNSPod 控制台,在域名解析列表中,单击目标域名所在行的解析。
2. 在域名记录管理页签,单击添加记录,将 A 记录指向的 IP 地址修改为 DDoS 高防 IP,单击保存。
