DDOS防护 AAD-业务接入DDoS高防:操作步骤
操作步骤
- 购买DDoS高防实例。
- 根据业务类型,将业务接入DDoS高防。
- 域名类业务接入操作,请参见域名类业务接入DDoS高防。
- 非域名类业务接入操作,请参见非域名类业务接入DDoS高防。
- 为避免恶意攻击者绕过DDoS高防直接攻击源站服务器,建议您设置源站保护。
有关源站保护的详细操作,请参见设置源站保护。
- 配置CC攻击防护策略。
- 业务正常时
网站业务接入DDoS高防后,建议您在业务运行一段时间后(两、三天左右),通过分析业务应用日志数据(包括URL、单一源IP平均访问QPS等),评估正常情况下单访问源IP的请求QPS情况并相应配置频率控制自定义规则限速策略,避免遭受攻击后的被动响应。
- 正在遭受CC攻击时
通过查看DDoS高防防护日志,获取域名请求TOP URL、IP地址、访问来源IP、User-Agent等参数信息,根据实际情况配置频率控制自定义规则,并观察防护效果。
有关配置频率自定义规则的详细操作,请参见自定义频率控制防护规则。
如果实际防护效果不佳,建议您购买MDR服务,协助您进一步分析日志并制定防护策略。
- 业务正常时
- 本地检查测试配置准确性。
配置完DDoS高防防护策略后,建议参照表2和表3检查测试DDoS高防配置是否正确。
有关本地验证的详细操作,请参见本地验证。
表2 业务检查项说明 业务类型
检查项说明
域名类业务
接入配置域名是否填写正确。
域名是否备案。
接入配置协议是否与实际协议一致。
接入配置端口是否与实际提供的服务端口一致。
源站填写的IP是否是真实服务器IP,而不是错误填写为其他IP。
证书信息是否正确上传。
证书是否合法(例如,加密算法不合规、错误上传其他域名的证书等)。
证书链是否完整。
是否已了解DDoS高防实例的弹性防护计费方式。
协议类型是否启用WebSocket、WebSockets协议。
非域名类业务
业务端口是否可以正常访问。
接入配置协议是否与实际协议一致,确认未错误地为TCP协议业务配置UDP协议规则等。
源站填写的IP是否是真实服务器IP,而不是错误填写为其他IP。
是否已了解DDoS高防实例的弹性防护计费方式。
- 切换业务流量。
本地检查验证通过后,建议采用测试的方式逐个修改DNS解析记录,将网站业务流量切换至DDoS高防,避免批量操作导致业务异常。如果切换流量过程中出现异常,请快速恢复DNS解析记录。
- 修改DNS解析记录后,需要10分钟左右生效。
- 真实业务流量切换后,您需要再次根据上述业务可用性验证项进行测试,确保业务正常运行。
- 开启告警通知。
开启DDoS高防告警通知后,当出现以下情况时,您将接收到告警通知信息(接收消息方式由您设置),及时发现业务异常现象: