如您需要防护非网站业务,则需要配置端口转发规则,并将防护的实际业务 IP 替换为 DDoS 高防提供的 IP 地址,将公网流量引流到高防清洗中心。下文介绍如何配置端口接入。
注意事项
- 仅华北地域的四层转发规则支持 IPv6 回源,如需要在该地域下的实例添加 IPv6 源站地址,请提交工单处理。
- DDoS 高防对非网站业务提供健康检查功能,如果您添加的源站域名不存在或者无法解析,将无法正常下发配置或转发回源。
前提条件
您已成功购买火山引擎 DDoS 高防实例。购买操作请参考购买 DDoS 高防实例。
操作流程
步骤一:添加端口转发规则
登录 DDoS 高防控制台。
在页面左侧,选择 DDoS 高防>接入配置。
在端口转发页签下,选择需要配置的高防实例。
单击添加转发规则,配置端口参数,支持单个添加或批量添加。
- 添加单条转发规则:选择添加单条,可添加一条端口接入规则。
- 添加多条转发规则:选择批量添加多条,可添加多条端口接入规则。
说明
- 输入格式要求:
协议 转发端口 源站地址 连接超时时长,中间由空格分隔。例如:tcp 1234 1234 1.1.1.1 90。 - 每行仅能填写一条转发规则,不同转发规则使用回车分隔。
- 单次最多支持添加 50 条规则。
配置
说明
示例值
转发协议
转发协议类型,当前支持 TCP 和 UDP 协议。
TCP
转发端口
用于访问的高防 IP 端口,建议与源站端口保持一致。
说明
在同一 DDoS 高防实例下,转发端口号在单个转发协议中不能重复。
例如:支持在实例 A 下配置转发协议为TCP且转发端口号为4040和转发协议为UDP且转发端口号为4040的两条转发规则,但不能配置两条转发协议都为TCP且转发端口号都为4040的转发规则。4040
源站端口
用户业务站点的实际端口。
4040
源站地址
源站 IP 地址或域名,支持添加多个源站地址以实现自动负载均衡。
注意
- 如果您添加的域名不存在或者无法解析,可能会影响健康检查结果的准确性。
- 仅华北地域的四层转发规则支持 IPv6 回源,如需要在该地域下的实例添加 IPv6 源站地址,请提交工单处理。
1.1.1.1
www.test.com连接超时时长
连接超时的时间限制。支持设置 1~500 秒,默认为 90 秒。
90
- 添加单条转发规则:选择添加单条,可添加一条端口接入规则。
步骤二:放行回源 IP 段
业务接入 DDoS 高防服务后,所有的请求都会经固定有限的高防回源 IP 段返回源站,每个回源 IP 上分摊的请求量会增大,容易被安全策略误拦或限速,因此需要对高防回源 IP 段进行放行。
如果源站已配置防火墙或安装安全软件,请将高防回源 IP 地址段添加到源站的防火墙、访问控制列表(ACL)或者其他任何安全软件白名单中,以确保高防的回源 IP 不受源站安全策略影响。
- 在页面左侧,选择 DDoS 高防>接入配置>端口转发。
- 单击查看回源 IP 段获取回源 IP 段信息。
- 将回源 IP 添加至源站防火墙或其他安全防护软件白名单中。
步骤三:验证转发是否生效
建议您在放行回源 IP 后,验证 DDoS 高防实例的业务转发配置是否生效,避免因配置未生效导致业务切换过程中发生中断。验证操作详情请参见验证转发配置。
步骤四:将业务流量切换至 DDoS 高防实例
端口转发规则验证生效后,您还需要将要防护的业务对外提供服务的 IP 替换为 DDoS 高防提供的 IP 地址,将公网流量牵引到高防清洗中心。
如果您的业务同时使用域名来指定服务器地址,则需要前往对应的 DNS 解析商平台,将防护的实际业务解析到高防提供的 CNAME 地址(推荐)或高防 IP,以将被防护业务的流量牵引到高防实例进行防护。您可以通过 CNAME 解析(推荐)或 A 记录解析的方式将业务流量切换至 DDoS 高防实例。
- 获取联动防御规则 CNAME 记录:前往联动防御列表查看。
- 创建联动防御规则相关操作,可参见添加联动防御规则。
- 如果没有联动防御需求,可创建一条仅联动高防 IP 的防御规则,再将生成的 CNAME 记录添加到防护网站的 DNS 解析中。
- 获取 DDoS 高防 IP:
- 在确认域名接入参数步骤查看。
- 或前往接入配置>域名接入列表查看。
步骤五:设置防护策略
域名接入后,默认开启自动防护。您也可自定义防护规则,实现精准防护。支持设置目的 IP 限速、区域封禁、访问白名单和访问黑名单。关于防护策略设置的更多详情,请参见防护策略说明。
- 在页面左侧,选择 DDoS 高防>防护策略>DDoS 攻击防护。
- 搜索或选择对应实例。
- 根据需要配置相关防护策略。