如您希望防护网站业务，则需要完成域名添加，并将防护的域名解析至 DDoS 高防 CNAME 地址，将公网流量引流到高防清洗中心以实现业务防护。支持通过手动配置或批量导入的方式添加域名，本文以手动配置为例介绍接入流程。 ## 注意事项 * 仅华北地域的七层转发规则支持 IPv6 回源，如需要为该地域下的实例添加 IPv6 源站地址，请提交[工单](https://console.volcengine.com/workorder/create?ref=L2FudGktZGRvcy9yZWdpb246RERvcytjbi1iZWlqaW5nL292ZXJ2aWV3)处理。 * DDoS 高防支持 Websocket 和 Websockets 协议，且默认为启用状态，暂不支持修改。 * 每个实例最多可防护 3500 个域名（最多 350 个主域名）。 ## 前提条件 * 您已成功购买火山引擎 DDoS 高防实例。购买操作请参考[购买 DDoS 高防实例](/docs/6352/166233)。 * 您已成功购买域名解析产品并完成域名的工信部备案。备案流程请参考[备案流程概览](https://www.volcengine.com/docs/6428/68737)。 ## 操作流程

## 步骤一：配置域名接入参数 ### 添加域名 1. 登录[ DDoS 高防控制台](https://console.volcengine.com/anti-ddos/advance/overview)。 2. 在页面左侧，选择 **DDoS 高防＞接入配置**。 3. 在**域名接入**页签下，单击**添加域名＞手动添加。** 4. 配置域名参数。 ![图片](https://p9-arcosite.byteimg.com/tos-cn-i-goo7wpa0wc/6ee95b566b2b48c1bcf24c337ffeda43~tplv-goo7wpa0wc-image.image =600x) |配置 |**说明** |示例值 | |---|---|---| |关联实例 |选择需要关联的 DDoS 高防 IP 实例。如无可选实例，请您参考[购买 DDoS 高防实例](/docs/6352/166233)购买。|* new_ins_103.143.\* *.* \*|\ | |:::tip|* new_ins_45.120.\* *.\** |\ | || |\ | |* 同一地域内只支持选择一个高防实例。| |\ | |* 可同时关联多个地域的高防实例。| |\ | || |\ | |:::| | |协议类型 |需要接入 DDoS 高防的网站所使用的通信协议，当前支持 HTTP 和 HTTPS 协议。|* HTTP：80|\ | |:::tip|* HTTPS：443 |\ | |勾选 HTTPS 协议后，需关联相关证书。| |\ | || |\ | |:::| | |日志采集 |购买日志服务后，您可以开启日志采集功能。开启后，可在日志管理模块检索和分析对应的日志。 |保持默认值（开启） | |防护域名 |* 填写需要接入 DDoS 高防的域名，支持泛域名或精确域名。|* www.example.com|\ | |* 如需同时配置泛域名和域名主体本身，请分别配置。如：需要同时防护`*.b.a.com`和`b.a.com`，需要分别接入域名并配置策略。|* example.com |\ | |* 如同时配置泛域名及其精确子域名，DDoS 高防将优先匹配精确域名的转发规则及防护策略。如：同时配置 `*.a.com`和`www.a.com`，面向`www.a.com`的访问请求将优先匹配该精确域名的转发规则及策略。| |\ | |* 支持同时添加多个域名。| |\ | || |\ | |:::warning| |\ | |每个实例最多可防护 3500 个域名（最多 350 个主域名）。| |\ | || |\ | |:::| | |关联证书 |当协议类型选择了 HTTPS 时，需要上传证书。可以选择已上传的证书或单击**新建证书**创建新的证书。如无可选证书，请您参考[购买并上传证书](https://www.volcengine.com/docs/6638/118049)操作。 |证书 1 | |备注标签 |* 为域名添加标签，便于分组管理。|重要 |\ | |* 可选择已有标签，或是直接输入新的标签。| |\ | || |\ | |:::tip| |\ | |标签添加后对当前所有待添加的域名生效。| |\ | || |\ | |:::| | |高级设置 |单击**展开**，可配置以下参数。|保持默认值 |\ | || |\ | |* **协议跟随**：如同时勾选了 HTTP 和 HTTPS 协议类型，可以设置是否开启协议跟随。开启后，访问请求的“回源协议”与“访问协议”保持一致。为保证正常回源，请确认源站支持已选中的协议类型。| |\ | |* **HTTP 2.0**：如勾选了 HTTPS 协议类型，可以设置是否开启 HTTP 2.0。开启后支持 HTTP 2.0 协议接入防护，以 HTTP 1.0 或 1.1 协议转发回源。| |\ | |* **TLS 设置**：如勾选了 HTTPS 协议类型，需设置 TLS 参数，即设置允许使用的 TLS 协议版本和加密套件，不匹配的请求将默认被丢弃。为提升业务安全和兼容性，建议您使用系统默认配置。| |\ | | * **TLS 协议**：默认选择 TLSv1.2 和 TLSv1.3。| |\ | | :::warning| |\ | | * 修改时至少选择一个协议版本，暂不支持单独选中 TLSv1.3 版本。| |\ | | * 选择多个版本时需注意版本号需要保持连续。例如，您不能仅选择 TLSv1 和 TLSv1.3。| |\ | | :::| |\ | | * **加密套件**：默认选择全部加密套件。| |\ | | :::warning| |\ | | 使用未被选中的加密套件的请求将无法正常访问，请谨慎修改。| |\ | | :::| |\ | |* **长连接**：设置客户端与高防之间的长连接参数。| |\ | | * **长连接保持时间**：客户端与高防之间的长连接保持时间。默认为 75 秒，支持配置 0 ～ 900 秒。设置合适的长连接保持时间可以控制客户端与高防实例之间的连接在一段时间内保持开启状态，从而减少反复建立连接消耗的网络资源和服务器资源。如果保持时间过长，可能会占用过多系统资源；反之，保持时间过短，可能会导致频繁的连接建立和关闭，影响用户体验。| |\ | | * **复用长连接请求数**：单个已建立的 TCP 连接上可以重复发送的请求个数。默认为 100 个，支持配置 60 ～ 1000 个。设置复用长连接请求数，可以减少建立和关闭连接的资源消耗，提高通信效率。在需要频繁发送请求的场景，例如网页浏览、视频播放等，需要适当提高这一参数值。| |\ | | * 例如，按默认值设置长连接参数，则一个长连接会话将保持 75 秒，此过程中可接受处理的请求上限为 100 个。| |\ | |* **请求 body 最大值**：设置高防可接受客户端请求正文的最大值。默认为 60 MB，支持配置 1～10240 MB。请求体大小的限制是为了防止恶意攻击或意外情况导致服务器资源耗尽或拒绝服务。请求体过大，可能导致服务器需要分配更多资源来处理请求，并增加网络延迟；请求体过小会导致数据不完整或丢失，服务器无法正确处理请求或返回不完整的响应。| |\ | |* **Gzip 压缩**：开启后，可以通过压缩算法对源站响应数据进行压缩，减少传输的数据量，同时减少带宽占用，在节约成本的同时提高网页加载速度。支持对 200 KB ～ 1 MB 大小的文件进行压缩。| |\ | |* **Chunked 编码**：开启后，对源站响应启用分块传输编码，允许在接收数据时逐块处理，而不需要等待整个数据传输完成，由此提升数据传输速度。 | | 5. 配置完成后，单击**下一步**。 ### 配置回源参数域名添加完成后，需要设置回源相关参数，以确保您的业务正常回源，您可以参考以下参数说明完成配置。 ![图片](https://p9-arcosite.byteimg.com/tos-cn-i-goo7wpa0wc/8c4749009d0d41ebaedfc906e8c590f6~tplv-goo7wpa0wc-image.image =600x) |配置 |**说明** |示例值 | |---|---|---| |负载均衡 |配置源站服务器的负载均衡方式，以确保请求和流量分发更符合业务实际需求。|保持默认（加权轮询） |\ | || |\ | |* **加权轮询（WRR）** ：按权重设置来分配请求，权重值越高的源站服务器，被轮询到的次数（概率）越高。例如，两台源站服务器：服务器 A 权重为 100，服务器 B 权重为 90，则优先将请求分发给服务器 A。| |\ | |* **加权最小连接数（WLC）** ：将请求分发给“当前连接数/权重”比值最小的源站服务器。例如，两台源站服务器：服务器 A 权重为 100，当前连接数为 100，当前“连接数/权重”的比值为 1；服务器 B 权重为 90，当前连接数为 9，当前“连接数/权重”的比值为 0.1。该场景下，优先将请求分发给服务器 B。| |\ | |* **源地址哈希（SH）** ：基于源 IP 地址的一致性哈希，即来自同一 IP 的请求会调度到同一个源站服务器。 | | |源站配置 |DDoS 高防支持配置主备源站组，以确保在主源站组发生故障或不可用时，备用源站组可以接管业务并继续提供服务，提高业务的高可用性和容灾能力。|* 主源站组：|\ | |:::tip| * 源站1：`HTTP 1.1.1.1 80 100`|\ | |您可以按需在配置主源站组的基础上配置备源站组，但不建议使用备源站组代替主源站组长期使用。| * 源站2：`HTTP www.1111.com 80 100`|\ | ||* 备源站组：|\ | |:::| * 源站1：`HTTP 2.2.2.2 80 100`|\ | |* **配置主源站组**：单击**添加源站**，配置主源站组相关参数。最多可添加 20 个主源站。| * 源站2：`HTTP www.2222.com 80 100` |\ | | * **源站协议**：从 DDoS 高防回源至源站的回源协议，可选 HTTP或 HTTPS 协议。如您对当前域名已启用“协议跟随”，则源站协议需要有 HTTP 协议源站配置和 HTTPS 协议源站配置以实现协议跟随。| |\ | | * **源站地址**：需要接入 DDoS 高防的网站所提供服务的源站公网 IP 或源站域名。| |\ | | :::warning| |\ | | 请勿配置与接入域名或高防 IP 地址一致的源站，以免造成业务异常。| |\ | | :::| |\ | | * **源站端口**：源站地址对应的端口。| |\ | | * **权重**：默认为 100。表示源站收到请求的概率（概率为该源站权重/组中所有服务器的总权重），可配置区间为 1 ～ 100。当负载均衡算法为源地址哈希（SH）时，权重对后端服务器收到请求的概率无影响。| |\ | | * **操作**：支持删除源站信息。| |\ | |* **配置备源站组（按需配置）** ：单击**添加备源站组\>添加源站**，可以配置备源站组相关参数。最多可添加 20 个备源站。| |\ | | :::warning| |\ | | 设置备源站组后，可在判断主源站组不可用时手动切换到备源站组。切换前，请确保备源站组可用，以免造成业务异常。| |\ | | :::| |\ | | * **源站协议**：从 DDoS 高防回源至源站的回源协议，可选 HTTP或 HTTPS 协议。如您对当前域名已启用“协议跟随”，则源站协议需要有 HTTP 协议源站配置和 HTTPS 协议源站配置以实现协议跟随。| |\ | | * **源站地址**：需要接入 DDoS 高防的网站所提供服务的源站公网 IP 或源站域名。| |\ | | :::warning| |\ | | * 请勿配置与接入域名或高防 IP 地址一致的源站，以免造成业务异常。| |\ | | * 备源站组的源站地址不能与主源站组地址重复。| |\ | | :::| |\ | | * **源站端口**：源站地址对应的端口。| |\ | | * **权重**：默认为 100。表示该源站收到请求的概率（概率为该源站权重/组中所有服务器的总权重），可配置区间为 1 ～ 100。当负载均衡算法为源地址哈希（SH）时，权重对后端服务器收到请求的概率无影响。| |\ | | * **操作**：支持删除源站信息。 | | |高级设置 |* **建连超时时间**：高防和后端服务器的建连超时时间。默认为 4 秒，支持配置 4～120 秒。|保持默认值 |\ | |* **转发请求至后端的超时时间**：高防将请求传输到后端服务器的超时时间，如果后端服务器在该时间内未收到任何请求，则关闭连接。默认为 60 秒，支持配置 30～3600 秒。| |\ | |* **读取后端响应的超时时间**：高防从后端服务器读取响应的超时时间，如果后端服务器在该时间内未响应任何内容，则关闭连接。默认为 60 秒，支持配置 30～3600 秒。| |\ | |* **回源长连接**：高防回源时，长连接可复用的个数。默认为 100 个，支持配置 60～1000 个。| |\ | |* **回源重试**：高防回源失败后，可重试的次数。默认为 3 次，支持配置 1～10 次。| |\ | |* **空闲长连接超时时间**：高防与后端服务器建立请求的长连接空闲时间。默认为 15 秒，支持配置 1～60 秒。| |\ | |* **流量标识**：开启后，DDoS 高防会在回源请求中添加一个自定义 Header 字段，以便您的源站识别并信任来自高防的请求。您可以自定义 Header 的字段名，并为其设置对应的值：| |\ | | * **固定值**：设置一个固定的字符串作为 Header 值，用于简单标识合法流量。| |\ | | * **上一跳 IP**：将高防节点的上一跳 IP 地址作为 Header 值。这使您的源站能够获取到具体的节点 IP，可用于更精细的流量分析或日志记录。| |\ | | * 最多可设置 5 个自定义流量标识 Header。 | | 配置完成后，单击**下一步**，确认您的接入和回源配置参数。 ### 确认域名接入参数在配置完成域名参数和回源参数后，您需要统一确认参数，确保配置准确无误。 * 如确认无误，单击**确认并添加**完成域名接入，并参考后续操作，放行回源 IP 地址和修改 DNS 解析。 * 如需修改，请单击**上一步**，修改对应参数并再次确认。 ## 步骤二：放行回源 IP 地址业务接入 DDoS 高防服务后，所有的请求都会经固定有限的高防回源 IP 段返回源站，每个回源 IP 上分摊的请求量会增大，容易被安全策略误拦或限速，因此需要对高防回源 IP 段进行放行。如果源站已配置防火墙或安装安全软件，请将高防回源 IP 地址段添加到源站的防火墙、访问控制列表（ACL）或者其他任何安全软件白名单中，以确保高防的回源 IP 不受源站安全策略影响。 ![图片](https://p9-arcosite.byteimg.com/tos-cn-i-goo7wpa0wc/2750a6a01a6b4ec085e1c5099a856fbd~tplv-goo7wpa0wc-image.image =1454x) ## 步骤三：验证转发是否生效建议您在放行回源 IP 后，验证 DDoS 高防实例的业务转发配置是否生效，避免因配置未生效导致业务切换过程中发生中断。验证操作详情请参见[验证转发配置](/docs/6352/1134044)。 ## 步骤四：修改域名 DNS 解析完成域名配置后，您需要将域名解析指向高防实例的 **CNAME** 地址，这样可以确保您的业务流量被正确牵引至 DDoS 高防，从而获得安全防护。操作详情请参见[修改 DNS 解析](/docs/6352/1319838)。 ![图片](https://p9-arcosite.byteimg.com/tos-cn-i-goo7wpa0wc/0da8105a35d3430da1e88e5896297e19~tplv-goo7wpa0wc-image.image =595x) ## 步骤五：设置防护策略域名接入后，默认开启自动防护。您也可自定义防护规则，实现精准防护。支持设置的策略包括 CC 防护、区域封禁、访问白名单和访问黑名单。关于防护策略设置的更多详情，请参见[防护策略说明](/docs/6352/1134002)。 1. 在页面左侧，选择 **DDoS 高防＞防护策略＞Web 攻击防护**。 2. 搜索或选择对应实例。 3. 根据需要配置相关防护策略。 ![图片](https://p9-arcosite.byteimg.com/tos-cn-i-goo7wpa0wc/0ad6af63b964427db01cc0b53f9aa997~tplv-goo7wpa0wc-image.image =2742x)

DDoS防护