高防IP网站接入流程
时间 : 2021-02-24编辑 : DNS智能解析专家
前提条件
已购买高防IP实例。详情请见 如何开通高防IP服务。
网站接入流程如下:
1.登录DNS.COM控制台,在左侧导航栏,点击进入「 高防IP-网站接入 」页面。
2.点击页面左上方「添加网站」按钮。
3.进行网站接入配置,填写需要防护的网站信息
(1)网站域名:填写需要配置防护的网站域名。支持顶级域名、子域名、泛域名。
注意:未添加的域名无法进行防护。
(2)协议:网站协议类型,有两种选择方式
①只选择HTTP协议
对于只包含 HTTP 协议的网站仅勾选 “HTTP”。
注意:HTTP协议为必选项。
② 同时选择HTTP和HTTPS协议
如果业务同时支持 HTTP 和 HTTPS,则可都勾选。同时选择两种协议时,需要多设置以下信息:
a.证书和密匙:复制您的证书和密钥文本内容。
注意:通常如 pem、cer、crt 等证书格式,可用文本编辑器直接打开进行复制。其它特殊格式(如 PFX、P7B 等)的证书需要先转换成 pem 格式。
b.选择HTTP是否强制回源。
c.选择HTTPS是否强制跳转。
(3)源站内容:支持 2 种方式回源。
① 源站IP:直接填写真实服务器的 IP 地址。
在 “源站内容” 文本框中填入 IP 地址,多个 IP 之间换行间隔,不可重复。
② 域名:填写回源域名,即通过回源域名的 DNS 解析出真实服务器的 IP 后,再进行流量转发 。
在 “源站内容” 文本框中填入回源的域名,仅支持填写 1 个域名。
说明:
a. www.xxx.com 和 xxx.com 需要作为两个不同的域名分别进行配置,否则访问可能出现异常 (例如,只配置了 xxx.com,在访问www.xxx.com 时有可能提示无法访问)。
b. 支持泛域名配置,高防将自动匹配该泛域名对应的子域名。例如,配置一条 *.xxx.com 即可同时匹配 1.xxx.com、2.xxx.com、www.xxx.com 等域名。泛域名仅用占一条配置名额。
c. 如果同时有泛域名和精确域名 (如 *.xxx.com 和 www.xxx.com),WAF优先使用精确域名所配置的转发规则和防护策略。
d. 如果一个域名对应多个源站 IP,可以都填写到源站 IP 中 (最多支持 8个 IP)。多个源站之间会以 IP Hash 方式进行轮询实现负载均衡
(4)高防IP:选择已购买的高防IP,以便将你的配置下发至高防节点。
完成以上操作点击确定即可,此时,已完成高防IP网站接入的配置部分。
4.放行高防IP地址
若您的源站在使用其他防火墙,请关闭或者 将高防 IP 节点 加入到防火墙白名单中,避免防火墙拦截导致高防回源失败。具体操作需要到源站服务器进行设置。
温馨提示:
启用高防 IP 后,对于你的源站来说,所有请求都来自于高防 IP 节点,并且由于高防 IP 节点固定且有限,这样可能被其他防护策略误认为是该高防IP节点在对源站进行攻击,从而可能导致高防IP节点 被错误地拦截或限速。
例如,最常见的 502 错误,即表示高防 IP 转发请求到源站,但源站却没有响应(因为高防IP节点 可能被源站的防火墙拦截)。
5. 修改 DNS 解析
修改 DNS 解析,使所有用户访问都先经过 DDoS 高防再回到源站 (相当于将所有流量牵引到高防 IP)。
各个 DNS 解析提供商的配置原理相同,具体配置步骤可能有细微差别,本文以DNS.COM域名解析配置为例。
(1)登录DNS.COM控制台,依次进入 “域名解析”-“域名列表”-“解析列表”。
(2)修改域名解析, 将域名A记录修改为CNAME模式,CNAME值为高防IP服务接入CNAME。
注:在完成 [上述步骤3] 网站接入配置后,系统会自动生成该域名的 CNAME 地址。
6.验证解析生效
在配置域名解析完后,验证解析是否生效,有两种方式:
(1)可进入『高防IP-实例列表』,点击DNS解析状态 刷新 按钮,查看解析是否已生效。
(2)可通过一些在线测试工具 (如 boce.com的DNS检测工具)测试域名的解析是否生效。
注意:DNS 的完全生效时间,根据各地 DNS 解析的收敛时间不同而不同。
域名解析生效则表示高防IP服务已成功接入。
说明:请务必确保把所有业务都切换到 DDoS 高防,否则攻击者还是能够通过未解析到 DDoS 高防的业务找到源站服务器 IP 地址,从而绕过 DDoS 高防直接攻击源站。