接入端口业务

如您需要防护非网站业务，则需要配置端口转发规则，并将防护的实际业务 IP 替换为 DDoS 高防提供的 IP 地址，将公网流量引流到高防清洗中心。下文介绍如何配置端口接入。

前提条件

您已成功购买火山引擎高防实例。

约束及限制

• 仅华北地域的四层转发规则支持 IPv6 回源，如需要在该地域下的实例添加 IPv6 源站地址，请提交工单处理。
• DDoS 高防对非网站业务提供健康检查功能，如果您添加的源站域名不存在或者无法解析，将无法正常下发配置或转发回源。

操作流程

步骤一：添加端口转发规则

1. 登录DDoS高防控制台。

2. 在页面左侧，选择DDoS高防>接入配置>端口转发。

3. 在页面左上方选择要配置的高防实例。
   

4. 单击添加转发规则，配置端口参数，支持单个添加或批量添加。

   • 单个添加：选择添加单条，可单个添加端口接入规则。
     
   • 批量添加：选择批量添加多条，可一次添加多个端口接入规则。
     

   配置	说明
   转发协议	转发协议类型，当前支持 TCP 和 UDP 协议。
   转发端口	用于访问的高防 IP 端口，建议与源站端口保持一致。 说明 同一 DDoS 高防实例和转发协议类型的情况，转发端口不可重复。
   源站端口	用户业务站点的实际端口。
   源站地址	源站IP地址或域名，可添加多个源站地址以实现自动负载均衡。
   连接超时时长	连接超时的时间限制。支持设置 1～500 秒，默认为 90 秒。

步骤二：设置高防实例IP

端口转发规则创建完成后，您还需要将要防护的实际业务 IP 替换为 DDoS 高防提供的 IP 地址，将公网流量引流到高防清洗中心，高防清洗中心将对攻击流量进行清洗拦截，并转发正常的业务流量到源站服务器。

1. 在页面左侧，选择DDoS高防>实例列表。
2. 查看对应实例的线路信息，即为高防实例 IP 地址。
   
3. 将需要防护的实际业务 IP 修改为高防实例 IP。具体操作请以业务平台实际情况为准。

步骤三：放行回源 IP 段

业务接入 DDoS 高防服务后，所有的请求都会经固定有限的高防回源 IP 段返回源站，每个回源 IP 上分摊的请求量会增大，容易被安全策略误拦或限速，因此需要对高防回源 IP 段进行放行。
如果源站已配置防火墙或安装安全软件，请将高防回源 IP 地址段添加到源站的防火墙、访问控制列表（ACL）或者其他任何安全软件白名单中，以确保高防的回源 IP 不受源站安全策略影响。

1. 在页面左侧，选择DDoS高防>接入配置>域名接入。
2. 单击查看回源IP段获取回源 IP 段信息。
   
3. 将回源 IP 添加至源站防火墙或其他安全防护软件白名单中。

   说明

   建议您在放行回源 IP 后，验证 DDoS 高防实例的业务转发配置是否生效，避免因配置未生效导致业务切换过程中发生中断。验证操作详情请参见使用高防 IP 访问服务器。

步骤四：设置防护策略

端口转发规则添加成功后，默认开启自动防护。如您有特殊需求，也可自定义防护策略，支持设置的策略包括黑/白名单、目的 IP 限速、区域封禁和黑洞解封。

1. 在页面左侧，选择DDoS高防>防护策略>DDoS攻击防护。
2. 搜索或选择对应实例。
3. 根据需要配置相关防护策略。
   
   关于防护策略设置的更多详情，请参见防护策略说明。