网站类业务接入_DDoS高防 AAD_用户指南

操作场景

用户可以选择使用域名接入，将业务通过CNAME解析的方式接入高防IP。

每个用户最多可以接入50个域名，不支持批量添加防护域名。

前提条件

• 已获取管理控制台的登录帐号与密码。
• 已成功购买高防实例。

操作步骤

网站类业务接入操作步骤如图1所示。

图1 网站类业务接入操作步骤

1. 登录管理控制台。
2. 进入域名列表入口，如图2所示。
   图2 域名列表入口
   

3. 在域名列表左上角，单击“添加域名”。
4. 配置域名接入。
   1. 填写域名信息，如图3，相关参数说明如表1，单击“下一步”。
      图3 填写域名信息（网站类）
      
      

      如果您以企业项目帐号登录管理控制台，则您可以在“企业项目”的下拉列表中选择项目名称。

      表1 域名信息参数说明

      参数名称	说明	示例
      防护域名	用户的实际业务对外提供服务所使用的域名。 单域名：输入防护的单域名。例如：www.example.com。 泛域名 如果各子域名对应的服务器IP地址相同：输入防护的泛域名。例如：子域名a.example.com，b.example.com和c.example.com对应的服务器IP地址相同，可以直接添加泛域名*.example.com。 如果各子域名对应的服务器IP地址不相同：请将子域名按“单域名”方式逐条添加。	单域名：www.example.com 泛域名：*.example.com
      业务类型	选择“网站类”。	网站类
      协议/端口	根据业务实际情况选择端口： HTTP/WebSocket的可选端口包括：80、81、82、83、84、8006、8078、8080、8081、8087、8097、19101、19501、21028、40009、40010。 HTTPS/WebSockets的可选端口包括：443、4006、4443、5443、6443、7443、8443、9443、14443、20000、28443、30001、30002、30003、30004、30005。 说明： 同一高防线路内，网站类业务和非网站类业务不能复用同一个端口号。	80
      源站类型	待添加防护域名的源站的类型，说明如下： 源站IP 真实服务器的公网IP地址，最多可输入20个IP地址，IP地址间以“,”分隔。 源站域名 当前仅支持华为云WAF CNAME。 须知： 如果待添加域名与其它域名使用同一个高防IP（高防线路）与协议/端口，待添加域名和其它域名的“源站类型”必须保持一致，且注意： 如果其他域名的“源站类型”为“源站IP”，请确保其它域名已开启Web攻击防护，详细操作请参考4.g。 如果其他域名的“源站类型”为“源站域名”，请确保其它域名与待添加域名是在同一个WAF区域接入的WAF防护。 如果“源站类型”选择“源站域名”，请确保您的业务在接入WAF时选择了使用代理，否则接入高防后会导致业务不通。 华为云WAF接入DDoS高防后，如果后续您的业务需要拆除WAF防护，请首先把业务从DDoS高防拆除。	源站IP

   2. （可选）上传证书。

      当选择“HTTPS/WebSockets”协议并且“源站类型”选择“源站IP”时，您需要导入证书。

      您可以在“证书”下拉列表框中选择已有证书，或上传新证书。上传新证书的操作步骤如下。

      1. 单击“上传”。
      2. 在弹出的“上传证书”对话框中，输入证书名称，粘贴证书和私钥文本内容，如图4所示，相关参数说明如表2所示。
         

         建议证书名称长度不超过10个字符，且不包括特殊字符。

         图4 上传证书
         
         

         • 当前只支持TLS 1.0、TLS 1.1、TLS 1.2版本证书的上传。
         • 您可以选择已有证书。
         • 同一用户的证书名不可重复。
         • 选取已有证书功能支持模糊搜索。

         表2 证书参数说明

         参数名称	说明
         证书文件	证书输入格式如下： -----BEGIN CERTIFICATE----- MIIDljCCAv+gAwIBAgIJAMD2jG2tYGQ6MA0GCSqGSIb3DQEBBQUAMIGPMQswCQYD VQQGEwJDSDELMAkGA1UECBMCWkoxCzAJBgNVBAcTAkhaMQ8wDQYDVQQKEwZodWF3 ZWkxDzANBgNVBAsTBmh1YXdlaTEPMA0GA1UEAxMGaHVhd2VpMQ8wDQYDVQQpEwZz ZXJ2ZXIxIjAgBgkqhkiG9w0BCQEWE3p3YW5nd2VpZGtkQDE2My5jb20wHhcNMTUw MzE4MDMzNjU5WhcNMjUwMzE1MDMzNjU5WjCBjzELMAkGA1UEBhMCQ0gxCzAJBgNV BAgTAlpKMQswCQYDVQQHEwJIWjEPMA0GA1UEChMGaHVhda2VpMQ8wDQY...... -----END CERTIFICATE----- 证书文件内容的复制方法： PEM格式证书：用文本编辑器直接打开进行复制。 非PEM格式证书：先转换成PEM格式，再用文本编辑器直接打开进行复制。 说明： 证书转换方法请参考如何将非PEM格式的证书转换为PEM格式？。
         私钥文件	私钥输入格式如下： -----BEGIN RSA PRIVATE KEY----- MIIDljCCAv+gAwIBAgIJAMD2jG2tYGQ6MA0GCSqGSIb3DQEBBQUAMIGPMQswCQYDVQQG EwJDSDELMAkGA1UECBMCWkoxCzAJBgNVBAcTAkhaMQ8wDQYDVQQKEwZodWF3ZWkxDzAN BgNVBAsTBmh1YXdlaTEPMA0GA1UEAxMGaHVhd2VpMQ8wDQYDVQQpEwZzZXJ2ZXIxIjAg BgkqhkiG9w0BCQEWE3poYW5nd2VpZGtkQDE2My5jb20wHhcNMTUwMzE4MDMzNjU5WhcN MjUwMzE1MDMzNjU5WjCBjzELMAkGA1UEBhMCQ0gxCzAJBgNVBAgTAlpKMQswCQYDVQQH EwJIWjEPMA0GA1UEChMGaHVhd2VpMQ8wDQYDVQQLEwZ -----END RSA PRIVATE KEY----- 私钥文件内容的复制方法： PEM格式证书：用文本编辑器直接打开进行复制。 非PEM格式证书：先转换成PEM格式，再用文本编辑器直接打开进行复制。 说明： 证书转换方法请参考如何将非PEM格式的证书转换为PEM格式？。

      3. 单击“确定”。
   3. 在高防实例名称列表中选择实例与线路后，单击“提交并继续”。
      图5 选择实例与线路
      
      

      • 一个域名可以选择多条线路（高防IP）。选择多个高防IP的限制条件是：各高防IP所配置的转发规则个数以及转发规则的转发协议、转发端口和业务类型保持一致。
      • 华为云为每个高防实例配置了多运营商线路，是为了避免您的用户产生跨运营商访问。建议您在选择实例与线路时要选择一组完整的实例线路。
   4. 记录域名的CNAME信息，并将CNAME添加到DNS，如图6所示，单击“下一步”。
      图6 修改DNS解析
      

      修改DNS解析的操作步骤请参见添加CNAME。

   5. 配置高防IP加白，如图7所示。
      图7 高防回源IP地址
      
      • 如果源站未配置防火墙，单击“完成”。
      • 如果源站已配置防火墙，请将高防回源IP地址段添加到源站的防火墙、ACL或者其他任何安全软件（如安全狗），即对回源IP段设置为放行，以确保高防的回源IP不受源站安全策略影响。单击“完成”。

      系统跳转至“域名接入”界面，新接入的域名添加到了“域名接入”的域名列表中。

      

      DDoS高防作FullNAT，会替换真实用户IP并且将客户业务的访问流量汇聚到高防回源IP。

      • 在没有启用DDoS高防时：对于源站来说真实客户端的地址是非常分散的，且正常情况下每个源IP的请求量都不大。
      • 在启用DDoS高防后：由于高防回源的IP段固定且有限，对于源站来说所有的请求都是来自高防回源IP段，因此分摊到每个回源IP上的请求量会增大很多（可能被误认为回源IP在对源站进行攻击）。此时，如果源站有其它防御DDoS的安全策略，很可能对回源IP进行拦截或者限速。例如，最常见的502错误。
   6. （可选）开启“CNAME自动调度”功能，如图8所示。

      由于高防“CNAME自动调度”可实现基于运营商来源的流量负载均衡，启用“CNAME自动调度”功能后，当某条高防IP线路被黑洞时，它可将流量自动切换至其他高防IP线路，以保障您的业务正常运行。

      图8 开启CNAME自动调度
      
   7. （可选）如果配置域名接入中“源站类型”选择的“源站IP”，请执行如下步骤：在该域名所在行的“安全防护”列，开启“WEB基础防护”，如图9所示。
      开启“WEB基础防护”后，DDoS高防才会对您的流量进行七层防护。

      图9 开启WEB基础防护
      

5. 验证配置生效：

   为了最大程度保证业务的稳定，建议在全面切换业务之前先进行本地的测试。DDoS高防预期可以把发送到高防IP或高防CNAME的报文转发到源站（真实服务器）。测试如下：

   • 假设配置参数如下：
     • CNAME: 5dc728e1769ad666.huaweisafedns.com。
   • 验证步骤：
     1. Telnet www.huaweicloud.com 80。
        • 如果可以连通，则说明Telnet公网地址在本机网络环境可用。
        • 如果无法连通，则需要更换本地测试机网络环境，因为某些企业网有可能配置过内部网络限制。例如连接手机Wi-Fi热点以切换为运营商网络。
     2. 确认网络可用后，可以通过Telnet命令访问高防CNAME的80端口。
        • 如果Telnet命令均能连通则说明配置成功。
        • 如果无法连通，请确认流程图上前面的步骤是否全部完成。
        • 如果全部完成依旧无法连通，请联系技术支持为您解决。

6. 修改DNS：

   修改DNS解析，请参见添加CNAME。

   DNS配置需要等待一定时间才可以生效，您可通过一些在线测试工具（如17ce、站长之家等）测试域名的解析情况。

后续处理

• 如果域名不需要解析到某个高防IP时，可以在该域名所在行的“实例和线路”列，单击“查看详情”。选择域名的高防IP，单击，将“域名解析开关”状态设置为。
• 如果不需要防护某个域名时，可以在该域名所在行的“操作”列，单击“删除”，删除该域名。