非网站类业务接入_DDoS高防 AAD_用户指南

操作场景

非网站类配置通常用于APP、PC客户端类业务，客户通过把高防CNAME配置到DNS或者把高防IP直接配置到客户端的方式将流量接入高防。

前提条件

• 已获取管理控制台的登录帐号与密码。
• 已成功购买高防实例。

操作步骤

非网站类业务接入操作步骤如图1所示。

图1 非网站类业务接入操作步骤

1. 登录管理控制台。
2. （可选）配置域名接入。
   如果需要提供防护域名智能解析，则需要配置此步骤。

   1. 登录管理控制台。
   2. 进入域名接入入口，如图2所示。
      图2 域名列表入口
      
   3. 在域名列表左上角，单击“添加域名”。
   4. 填写域名信息，单击“下一步”。
      图3 填写域名信息（非网站类）
      
      

      如果您以企业项目帐号登录管理控制台，则您可以在“企业项目”的下拉列表中选择项目名称。

      表1 域名信息参数说明

      参数名称	说明
      防护域名	用户的实际业务对外提供服务所使用的域名。 单域名：输入防护的单域名。例如：www.example.com。 泛域名 如果各子域名对应的服务器IP地址相同：输入防护的泛域名。例如：子域名a.example.com，b.example.com和c.example.com对应的服务器IP地址相同，可以直接添加泛域名*.example.com。 如果各子域名对应的服务器IP地址不相同：请将子域名按“单域名”方式逐条添加。
      业务类型	选择“非网站类”。

   5. 在实例和线路列表框中选择实例后，单击“提交并继续”。

      一个域名可以选择多条线路（高防IP）。选择多个高防IP的限制条件是：各高防IP所配置的转发规则个数以及转发规则的转发协议、转发端口和业务类型保持一致。

      华为云为每个高防实例配置了多运营商线路，是为了避免您的用户产生跨运营商访问。建议您在选择实例与线路时要选择一组完整的实例线路。

      图4 选择实例与线路
      

   6. 复制并保存高防CNAME，单击“下一步”。
      图5 修改DNS解析
      
   7. 配置高防IP加白名单。
      • 如果源站未配置防火墙，单击“完成”。
      • 如果源站已配置防火墙，请将高防回源IP地址段添加到源站防火墙白名单后，单击“完成”。

      系统跳转至“域名配置”界面，新接入的域名添加到了“域名配置”的域名列表中。

   8. （可选）如果您的业务需要通过域名对外提供服务，建议您使用高防提供的“CNAME自动调度”功能。由于高防“CNAME自动调度”可实现基于运营商来源的流量负载均衡，当启用“CNAME自动调度”功能后，如果当某条高防IP线路被黑洞时，它可将流量自动切换至其他高防IP线路，以保障您的业务正常运行。
      图6 开启CNAME自动调度
      

3. 添加转发规则：

   详情请参见配置转发规则。

4. 放行回源IP：
   • 放行回源IP段的原因如下：
     DDoS高防作FullNAT，会替换真实用户IP并且将客户业务的访问流量汇聚到高防回源IP。

     • 在没有启用DDoS高防时：对于源站来说真实客户端的地址是非常分散的，且正常情况下每个源IP的请求量都不大。
     • 在启用DDoS高防后：由于高防回源的IP段固定且有限，对于源站来说所有的请求都是来自高防回源IP段，因此分摊到每个回源IP上的请求量会增大很多（可能被误认为回源IP在对源站进行攻击）。此时，如果源站有其它防御DDoS的安全策略，很可能对回源IP进行拦截或者限速。例如，最常见的502错误。
   • 放行回源IP段的操作步骤如下：
     1. 查看“高防回源IP段”，请参见查看高防回源IP段。
     2. 将“高防回源IP段”在您源站的防火墙、ACL或者其他任何安全软件（如安全狗）中加入白名单，即对回源IP段设置为放行，以确保高防的回源IP不受源站安全策略影响。

5. 验证配置生效：

   为了最大程度保证业务的稳定，建议在全面切换业务之前先进行本地的测试。DDoS高防预期可以把发送到高防IP或高防CNAME的报文转发到源站（真实服务器）。测试如下：

   • 假设配置参数如下：
     • 高防线路套餐：电信联通移动。
       • 电信线路IP：1.1.1.1。
       • 联通线路IP：2.2.2.2。
       • 移动线路IP：3.3.3.3。
     • CNAME: 5dc728e1769ad666.huaweisafedns.com。
     • 高防对外提供服务端口：1234。
     • 防护域名：www.test.com。
     • 源站IP：4.4.4.4。
     • 源站对外提供服务端口：1234。
   • 验证步骤：
     1. Telnet www.huaweicloud.com 80。
        • 如果可以连通，则说明Telnet公网地址在本机网络环境可用。
        • 如果无法连通，则需要更换本地测试机网络环境，因为某些企业网有可能配置过内部网络限制。例如连接手机Wi-Fi热点以切换为运营商网络。
     2. 确认网络可用后，可以通过Telnet命令访问各高防IP各运营商线路和高防CNAME的1234端口。
        • 如果Telnet命令均能连通则说明配置成功。
        • 如果无法连通，请确认流程图上前面的步骤是否全部完成。
        • 如果全部完成依旧无法连通，请联系华为云安全技术专家为您解决。

6. 修改DNS（可选）：

   当您需要通过域名对外提供服务的情况下，才需要执行修改DNS解析的步骤。

   • 若您选择了“配置域名接入”，即已获得高防CNAME，则参见添加CNAME；
   • 若您没有选择“配置域名接入”，而是选择直接“添加转发规则”，则参见添加A记录。

   DNS配置需要等待一定时间才可以生效，您可通过一些在线测试工具（如17ce、站长之家等）测试域名的解析情况。

后续处理

• 如果域名不需要解析到某个高防IP时，可以在该域名所在行的“实例和线路”列，单击“查看详情”。选择域名的高防IP，单击，将“域名解析开关”状态设置为。
• 如果不需要防护某个域名时，可以在该域名所在行的“操作”列，单击“删除”，删除该域名。