阿里云国际DDoS高防：添加网站配置指南

配置项

说明

功能套餐

选择要关联的DDoS高防实例的功能套餐。可选项：标准功能、增强功能。

说明

将光标放置在功能套餐后的 图标上，查看标准功能和增强功能套餐的功能差异。

实例

选择要关联的DDoS高防实例。

一个网站域名最多可以关联8个DDoS高防实例，且只能关联同一种功能套餐下的实例。

网站

填写要防护的网站域名。具体要求如下：

• 域名可以由英文字母（a~z、A~Z，不区分大小写）、数字（0~9）以及短划线（-）组成。域名的首位必须是字母或数字。
  
• 支持填写泛域名，例如，*.aliyundoc.com。使用泛域名时，DDoS高防自动匹配该泛域名对应的子域名。
  

说明

• 如果同时存在泛域名和精确域名配置（例如，*.aliyundoc.com和www.aliyundoc.com），DDoS高防优先使用精确域名（即www.aliyundoc.com）所配置的转发规则和防护策略。
  
• 如果您填写的是一级域名，DDoS高防仅防护您的一级域名，不支持对二级域名等子域名进行防护。如果您要防护二级域名，请输入二级域名或者泛域名。
  
• 仅支持配置为域名，不支持填写网站IP。
  

协议类型

选择网站支持的协议类型。可选项：

• HTTP：默认选中。
  
• HTTPS：网站支持HTTPS加密认证时，请勾选该协议并完成以下配置。
  上传国际标准HTTP证书
  自定义TLS安全策略
  启用双向认证
  启用OCSP Stapling
  国密HTTPS
  
• Websocket：选中该协议将自动同时选中HTTP协议，不支持单独选中Websocket协议。
  
• Websockets：选中该协议将自动同时选中HTTPS协议，不支持单独选中Websockets协议。
  

选中HTTPS协议后，可以根据需要开启以下高级设置。

• 开启HTTPS的强制跳转：适用于网站同时支持HTTP和HTTPS协议。开启该设置后，所有HTTP请求将被强制转换为HTTPS请求，且默认跳转到443端口。重要
• • 只有同时选中HTTP和HTTPS协议，并且没有选中Websocket协议时，才可以开启该设置。
    
  • HTTP非标准端口（80以外的端口）访问的场景下，如果开启了HTTPS强制跳转，则访问默认跳转到HTTPS 443端口。
    
• 开启HTTP回源：如果网站不支持HTTPS回源，请务必开启该设置。开启该设置后，所有HTTPS协议请求将通过HTTP协议回源、所有Websockets协议请求将通过Websocket协议回源，且默认回源端口为80。
  重要
  HTTPS非标准端口（443以外的端口）访问的场景下，如果开启了HTTP回源，则访问默认跳转到源站HTTP 80端口。
  
• 启用HTTP2：开关开启表示允许HTTP 2.0协议客户端接入高防，但此时DDoS高防仍使用HTTP 1.1回源到源站。
  HTTP 2.0功能规格说明
  

服务器地址

选择源站服务器的地址类型，并填写源站服务器的地址。

说明

源站可以是阿里云产品，也可以是非阿里云产品。但当源站是阿里云产品时，请确保该源站归属于当前的阿里云账号，如果源站属于其他阿里云账号，请在添加前联系商务经理。

• 源站IP：表示源站服务器的IP地址。最多支持配置20个源站IP地址，多个IP地址间使用半角逗号（,）分隔。
• • 如果源站在阿里云，一般填写源站ECS的公网IP地址。如果ECS前面部署了SLB，则填写SLB的公网IP地址。
    
  • 如果源站在阿里云外的IDC机房或者其他云服务商，您可以使用ping 域名命令，查询域名解析到的公网IP地址，并填写获取的公网IP。
    
• 源站域名：通常适用于源站和高防之间还部署有其他代理服务（例如，Web 应用防火墙 WAF（Web Application Firewall））的场景，表示代理服务的跳转地址。最多支持配置10个源站域名，多个域名间通过换行分隔。
  例如，您在部署DDoS高防实例后还需要部署WAF，以提升应用安全防护能力，您可以选择源站域名，并填写WAF的CNAME地址。
  重要
  如果您设置的源站域名为OSS存储空间（Bucket）的默认外网访问域名，则对应存储空间必须已绑定自定义域名。
  

服务器端口

根据协议类型，设置源站提供对应服务的端口。

• HTTP协议、Websocket协议的端口默认为80。
  
• HTTPS协议、HTTP2协议、Websockets协议的端口默认为443。
  

自定义服务器端口，多个端口间使用半角逗号（,）分隔，具体限制如下。

• 自定义端口必须在可选端口范围内。
• • HTTP协议可选端口范围：80~65535。
    
  • HTTPS协议可选端口范围：80~65535。
    
• 所有接入DDoS高防实例防护的网站业务下自定义的不同端口（包含不同协议下的自定义端口）的总数不能超过10个。
  例如，您有2个网站（A和B），网站A提供HTTP服务、网站B提供HTTPS服务。如果网站A的接入配置中自定义了HTTP 80、8080端口，那么在网站B的接入配置中，最多可以自定义8个不同的HTTPS端口。
  

Cname Reuse

仅DDoS高防（非中国内地）支持配置该参数。选择是否开启CNAME复用。

该功能适用于同一台服务器上有多个网站业务的场景。开启CNAME复用后，您只需将同一个服务器上多个域名的解析指向同一个高防CNAME地址，即可将多个域名接入高防，无需为每个域名分别添加高防网站配置。

配置项

说明

回源负载算法

有多个源站服务器地址（源站IP或源站域名）时需要配置。您可以修改回源负载均衡算法或者为不同服务器设置权重。

• 轮询（默认）：所有请求轮流分配给所有服务器地址，默认所有服务器地址具有相同权重。支持修改服务器权重，服务器权重越大，被分配到请求的可能性越高。适用于多源站且对源站负载均匀要求较高的场景。
  
• IP hash：支持设置IP hash的同时为服务器设置权重。使用IP hash保证同一客户端的请求在一段时间内被分配到同一台服务器处理，确保会话的一致性。结合权重模式，根据服务器的处理能力进行权重分配，确保更高性能的服务器处理更多的请求，优化资源利用效率。适用于需要保持用户会话一致性的场景，极端情况下可能存在负载不均衡。
  
• Least time：通过智能DNS解析能力和Least time回源算法，保证业务流量将从接入防护节点到转发回源站服务器整个链路的时延最短。
  

流量标记

• 客户端真实源端口
  HTTP Header中客户端真实源端口所在的头部字段名。
  一般情况下使用X-Forwarded-ClientSrcPort字段记录真实的客户端源端口，如果您的业务使用自定义的字段记录真实的客户端源端口，请将Header字段名称设置为您自定义的字段。您可以从高防转发到源站的请求中解析设置的字段，获取客户端使用的真实端口。具体操作与获取客户端真实请求IP类似。
  
• 客户端真实源IP
  HTTP Header中客户端真实源IP所在的头部字段名。
  一般情况下使用X-Forwarded-For字段记录真实的客户端源IP，如果您的业务使用自定义的字段记录真实的客户端源IP，请将Header字段名称设置为您自定义的字段。您可以从高防转发到源站的请求中解析设置的字段，获取客户端使用的真实IP。
  
• 自定义Header在请求中增加自定义HTTP Header（包含字段名称和字段值）来标记经过DDoS的请求。高防在代理网站流量时，会在转发到源站的请求中添加对应的字段值，方便您后端的服务进行统计分析。
• • 请不要使用以下默认字段作为自定义Header：
  • • X-Forwarded-ClientSrcPort：默认被用于获取访问高防七层引擎的客户端端口。
      
    • X-Forwarded-ProxyPort：默认被用于获取访问高防七层引擎的监听端口。
      
    • X-Forwarded-For：默认被用于获取访问高防七层引擎的客户端IP。
      
  • 请不要使用标准HTTP头部字段（例如，host、user-agent、connection、upgrade等）或一些被广泛使用的自定义HTTP头部字段（x-real-ip、x-true-ip、x-client-ip、web-server-type、wl-proxy-client-ip、eagleeye-rpcid、eagleeye-traceid、x-forwarded-cluster、x-forwarded-proto等），否则会导致请求原始头部字段的内容被改写。
    
  • 除客户端真实源端口和客户端真实源IP外，您最多支持添加5个自定义Header标签。
    

cookie设置

• 下发状态
  默认开启。开启状态时DDoS高防将会在客户端（如浏览器）植入Cookie用于区分统计不同客户端或者获取客户端的指纹信息等。
  重要
  如需停止DDoS高防向业务植入Cookie的行为，您可以将开关关闭，但同时DDoS高防也将无法通过CC安全防护策略模块对CC攻击进行主动判断和防护。
  
• Secure属性
  默认关闭。如果开启，Cookie只会在HTTPS连接中被发送，而不会在HTTP连接中发送，有助于保护Cookie不被攻击窃取。当网站业务仅支持HTTPS链接时建议开启。
  

其他设置

• 设置新建连接超时时间：DDoS高防尝试建立到源站的连接时，超过该时间连接未建立完成，会被认定为失败。支持设置为1~10秒。
  
• 设置读连接超时时间：DDoS高防成功建立连接并向源站发出读取数据请求之后，等待源站返回响应数据的最长时间。支持设置为10~300秒。
  
• 设置写连接超时时间：数据从DDoS高防发送出去之后，并由源站开始处理之前，DDoS高防等待的时间长度。超过这段时间，如果DDoS高防还没有成功地将所有数据发送给源站，或者源站没有开始处理数据，会被认定为失败。支持设置为10~300秒。
  
• 回源重试：当DDoS高防请求的资源在缓存服务器上没有命中时，缓存服务器将尝试从上一级缓存服务器或源站重新获取该资源。
  
• 回源长连接：在缓存服务器与源站之间，使TCP连接在一段时间内保持活跃，而不是每完成一次请求就关闭。开启后可以减少建立连接的时间和资源消耗，提高请求处理的效率与速度。
  
• 复用长连接的请求个数：在DDoS高防向源站建立的一个TCP连接中，支持发送的HTTP请求个数，可以减少因频繁建立和关闭连接所带来的延迟和资源消耗。支持设置为10~1000。建议小于等于后端源站（如：WAF、SLB）上配置的长连接请求复用个数，以免长连接关闭造成业务无法访问。
  
• 空闲长连接超时时间：DDoS高防向源站建立的一个TCP长连接，在没有数据传输之后，在高防的连接池保持开启状态的最长时间。这个时间段内如果没有新的请求，该连接将被关闭，以释放系统资源。支持设置为10~30秒。建议小于等于后端源站（如：WAF、SLB）上配置的超时时长，以免长连接关闭造成业务无法访问。
  
• 设置HTTP2.0 Stream数上限：仅当启用HTTP2时支持设置，表示客户端与DDoS高防间允许的最大并发流数量。支持设置为16~32，如果您有更高的配置诉求，请联系商务经理。