文档中心 > 聚石塔

防护非网站业务配置

更新时间:2023/06/07 访问次数:9400

本文档介绍了非网站业务(企业ERP、进销存OMS等APP)用户新购DDoS高防后如配置上线,切换业务接入高防,并验证防护生效。

注意:与网站业务不同,非网站业务配置后只进行四层转发。DDoS高防不会解析七层报文的内容,也不提供基于七层报文的防护(如CC攻击、Web攻击等),只支持四层防护(如SYN Flood、UDP Flood等)。


读者对象


本文档作为快速入门参考,适用于有以下需求的读者对象:

1)了解非网站业务如何使用高防IP。

2)已购买DDoS高防IP,但不知道如何配置业务接入。

3)需要测试、验证、修改、或删除DDoS高防配置。

4)不知道如何配置DNS解析、CNAME地址解析、及A记录解析。


快速入门流程图


image.png


一般非网站类业务接入流程请参考以下步骤:

说明: 购买高防实例后,您需要先启用高防实例,才可将业务接入DDoS高防IP。


步骤1:配置四层转发


1. 登录云盾管理控制台,定位到DDoS防护>防IP,单击非网站。在非网站页面,可选择高防实例和高防IP。


image.png


2. 选择需要配置规则的高防IP后,单击添加规则

3. 选择转发协议(目前支持TCP和UDP),设置转发端口(需要通过高防IP的哪个端口来访问,一般情况选择跟源站相同端口)。然后,填写源站端口(源站提供业务服务的真实端口)和站IP


image.png


注意:

1)如果一个端口对应多个源站IP,可以都填写到源站IP中(最多支持20个IP)。多个源站之间会以轮询方式实现负载均衡;

2)非网站转发端口不支持80端口和UDP的53端口,网站类业务请直接在网站业务接入中配置。

4. 单击确定

注意:非网站业务只支持四层转发,不支持七层防护(如WAF和CC防护),也不支持黑白名单。


步骤2:放行回源IP段


注意:本文目的是为了避免源站将DDoS高防的回源IP拦截而影响业务,而不是源站保护(只允许经过DDoS高防的请求访问源站)。如果您想要配置源站保护,请参考高防源站保护


1. 为何要将回源IP段放行

DDoS高防作为一个反向代理,其中包含了一个Full NAT的架构。


image.png


没有启用DDoS高防代理时,对于源站来说真实客户端的地址是非常分散的,且正常情况下每个源IP的请求量都不大。

启用DDoS高防代理后,由于高防回源的IP段固定且有限,对于源站来说所有的请求都是来自高防回源IP段,因此分摊到每个回源IP上的请求量会增大很多(可能被误认为回源IP在对源站进行攻击)。此时,如果源站有其它防御DDoS的安全策略,很可能对回源IP进行拦截或者限速。

例如,最常见的502错误,即表示高防IP转发请求到源站,但源站却没有响应(因为回源IP可能被源站的防火墙拦截)。


image.png


所以,在配置完转发规则后,我们强烈建议关闭源站上的防火墙和其他任何安全类的软件(如安全狗等),确保高防的回源IP不受源站安全策略的影响。


2. DDoS高防回源IP段

您可登录云盾DDoS防护管理控制台,定位到实例列表,单击高防回源IP段,查看详细的高防IP回源地址段。


image.png


步骤3:验证配置生效


在云盾DDoS防护管理控制台配置完成后,DDoS高防预期可以把请求高防IP对应端口的报文转发到源站(真实服务器)的对应端口。

为了最大程度保证业务的稳定,我们建议在全面切换业务之前先进行本地的测试。


1. 直接用IP访问(不需要域名)的业务

有的四层业务(企业erp)可能不需要域名,是直接通过IP来进行交互的。

例如,高防IP是99.99.99.99,配置了端口1234的转发,源站IP是11.11.11.11,对应服务端口也是1234。在完成前两步的配置后,可以直接本地通过telnet命令访问高防IP 99.99.99.99的1234端口,telnet命令能连通则说明转发成功。

或者,如果能在本地客户端直接填写服务器IP,也可以直接填入高防IP进行测试。


2. 需要用域名访问的四层业务

对于需要通过域名来访问的业务(如客户端中使用的服务器地址是域名而不是IP),可通过以下两种方法来验证配置是否生效:

1)修改本地hosts文件

① 首先修改本地hosts文件,使本地对于被防护站点的请求经过高防。以Windows操作系统为例:

a. 找到Hosts文件。一般Hosts文件在 C:\Windows\System32\drivers\etc\ 文件夹中。

b. 用记事本或Notepad++等文本编辑器,打开hosts文件。

c. 在最后一行添加如下内容:
<高防IP地址> <被防护网站的域名>
以“www.aliyundemo.com”为例,在hosts文件最后一行添加如下内容:


image.png


d. 修改hosts文件后保存。

② 在本地计算机对被防护的域名运行Ping命令。
预期解析到的IP地址是在hosts文件中绑定的高防IP地址。如果依然是源站地址,可尝试刷新本地的DNS缓存(在Windows的命令提示符中运行ipconfig/flushdns命令。)

③ 确认本地解析已经切换到高防IP以后,使用原来的域名进行测试,如果能正常访问则说明配置已经生效。


2)直接通过CNAME地址访问服务器

如果客户端支持填写服务器域名,可以把原来的域名替换成DDoS高防服务已分配的接入CNAME地址,测试访问是否正常。

如果无法正常访问,请确认步骤1步骤2中的配置是否正确。


(可选)步骤4:修改DNS解析


注意:本步骤仅针对使用四层业务、同时还需要使用域名来指定服务器地址的业务。例如,某ERP应用,需要填写域名“aliyundemo.com”作为服务器地址,或是这个域名已经写在客户端程序中。

如果通过直接指定IP进行访问的四层业务,则无需进行以下步骤配置。

修改DNS解析,使所有用户的访问都先经过DDoS高防再回到源站(相当于将所有流量长牵引到高防IP)。


操作步骤

各个DNS解析提供商的配置原理相同,具体配置步骤可能有细微差别,本文以万网配置为例。

1. 登录万网域名控制台,进入域名解析设置。


image.png


以图中的域名aliyundemo.com为例,当前的域名解析采用A记录的方式,默认线路(除联通以外的线路,包含电信、移动、教育网、铁通、海外等线路)的@和www记录(即用户直接访问域名“aliyundemo.com”或者“www.aliyundemo.com”)都是解析到源站IP地址为11.11.11.11的服务器,而联通线路则是解析到源站IP地址为22.22.22.22的服务器。


2. 接入DDoS高防后,需要修改域名解析配置让域名解析到高防IP上。推荐按照以下方式进行A记录解析配置:

三线套餐用户:

1)设置电信线路A记录解析到电信的高防IP。

2)设置联通线路A记录解析到联通的高防IP。

3)设置默认线路A记录解析到BGP的高防IP。


二线套餐用户:

1)设置默认线路A记录解析到电信的高防IP。

2)设置联通线路A记录解析到联通的高防IP。

在配置域名解析完后,可通过一些在线测试工具(如17ce站长之家等)测试域名的解析情况。

DNS的完全生效时间,根据各地DNS解析的收敛时间不同而不同。

注意:请务必确保把所有业务都切换到DDoS高防,不然恶意攻击者还是能够通过未解析到DDoS高防的业务找到源站服务器IP地址,从而绕过DDoS高防直接攻击源站。

 

 

FAQ

关于此文档暂时还没有FAQ
返回
顶部