操作指南
安全概览
登录高防控制台
- 点击 产品与服务 在安全(云御) 分类中选择 DDoS高防 点击进入到DDoS控制台页面。
2.登录成功后,默认跳转到DDoS高防->首页(概览)
3.首页展示当前防御概览和业务情况。如果您未购买高防实例,请您点击实例列表->+购买 进行购买相应的高防套餐。
统计信息
用户可以在概览页面,查看域名接入情况和已接入域名的防护状态。
可查看的统计结果包含:总请求数、HTTPS请求数、命中缓存请求数、请求趋势、CC攻击QPS趋势、受CC攻击网站TOP5、CC攻击来源TOP5。
实例管理
创建实例
1.点击+购买进入购买实例页面。
2.按需选择套餐内容,点击立即购买,进入订单确认页面,确认无误后可以支付购买。
3.可以查看已选配置和所需费用,确认无误后可以点击立即购买完成支付。
实例列表
1.点击实例列表,可查看已购买的实例,也可以通过添加+购买功能继续购买。
2.支持实例的升配和续费操作。
注意:攻击流量超出客户购买的套餐防护带宽时,高防机房仍会防护客户业务但最多持续一周,如果一周内流量持续超出套餐范围,将通知客户升级套餐或扩充防护带宽,如一周后客户未升级套餐且未扩充防护带宽,将不再防护超出套餐范围的流量,超出的流量将直接调度回源站。
业务列表
添加防护站点
1.点击+添加域名,自动弹出添加域名页面。
2.添加站点共包含2个步骤:添加需要防护的域名并选择实例,添加源站配置。
3.第一步:添加域名,例如,www.inspur.com;选择实例;系统默认对您添加的站点进行备案审核,一般是1小时内通过,如果状态异常,请随时联系客服进行处理。
提示:在使用高防之前建议将实例列表提示的防护IP进行加白,以免造成误拦截。
第二步:新增源站配置,例如,www.inspur.com;默认选择http:80,可以选择是否需要https:443,如果选择https协议,则需要上传证书才能使用https安全防护服务,站点通信端口可以自定义;支持添加多个源站IP,多个IP之间默认执行轮询方式的负载均衡策略;选择默认回源线路(源站IP/域名)。点击确定将保存当前信息
注意:建议高防IP的监听端口和源站IP的服务端口保持一致
管理防护配置
1.点击防护配置,进入源站配置项,指定回源地址和监听端口,支持回源到IP及域名
·协议类型说明:网站加速支持的协议类型
| 协议类型 | 说明 |
|---|---|
| HTTP | 以HTTP方式进行网站加速 |
| HTTPS | 以HTTPS方式进行网站加速,选择该类型时需要在“证书管理”模块上传证书 |
·取源协议说明:
客户端请求网站资源时,若高防节点上未缓存该资源,则会使用指定的协议与源建立连接获取资源。
| 取源协议 | 说明 |
|---|---|
| HTTP | 高防节点取源获取资源时使用HTTP协议 |
| HTTPS | 高防节点取源获取资源时使用HTTPS协议 |
| 协议跟随 | 高防节点取源所使用的协议,与客户端访问协议一致。选择该项时需保证源站同时支持80和443端口,否则有可能造成取源失败。 |
·负载均衡方式说明:添加多源站地址时,支持以下三种方式取源
| 负载均衡方式 | 说明 |
|---|---|
| 轮询 | 选择该模式时,将根据源站设置的优先级进行取源,设置的权重和访问该源站的比例成正比。 |
| IP哈希 | 客户端请求时,高防节点随机将请求发送到一个源站,之后同一IP的请求将被一直发送到这个源站,直到该源站被认为宕机,请求将被发送到其他源站。 |
| COOKIE粘住 | 类似IP哈希,随机将客户端请求发送到一个源站,之后同一COOKIE对应的请求将被一直发送到这个源站,直到源站被认为宕机或COOKIE过期,将被发送到其他源站。 |
·回源设置:网站回源支持IP和域名类型
| 源站类型 | 说明 |
|---|---|
| IP | 支持多个外网IP |
| 域名 | 支持单个源站域名 |
说明:
a.源站线路类型分主备线路,节点取源根据负载均衡方式取主线路源,当取主线路源站均失败时,才会取备用线路源。
b.节点取源时将智能检测链路速度,配合负载均衡方式保障最优取源链路。
2.支持DDoS和CC防护的开启或者关闭
· 默认:系统只对灾难性攻击行为进行安全拦截。
· 普通:系统会智能识别出可疑请求,并且自动选择合适的验证方式(建议正在遭受到CC攻击时开启)。
· 严格:建议仅在正受到CC攻击且防御不佳时开启。
· 验证码:百分百防御对用户体验有一定影响。
· 智能CC:基于大数据机器学习算法分析提炼网站正常业务特征,同时阻断异常的高危请求。
3.支持区域屏蔽
· 可根据业务需求允许或禁止特定区域的终端用户对网站资源的访问。
· 开启白名单后,只允许白名单中的地区对源站进行访问;开启黑名单后,只禁止黑名单中的地区对源站的访问。
· 支持按国家、省、市维度进行配置。
4.支持性能优化
· 整站刷新
a. 多个域名请用英文逗号分隔如:www.inspur.com,www.inspur01.com
b. 非本账号下的域名将被忽略
c. 不支持泛域名清理缓存,需输入具体域名进行清理
d. 单账号每分钟仅支持添加2次整站刷新任务,单次最多支持200条,且重复的域名将被忽略
· 指定URL刷新
a. 多个URL请用英文逗号分隔如:http://www.inspur.com/img.png,http://www.inspur01.com/img.png
b. 非本账号下的域名URL将被忽略
c. 不支持泛域名URL清理缓存,需输入具体域名URL进行清理
d. 单账号每分钟仅支持添加2次URL刷新任务,单次最多支持200条,且重复的URL将被忽略
· 指定目录刷新
a. 请输入需要刷新的目录,以http(s)://开头,以/结束,目录不区分大小写
b. 多个目录请用英文逗号分隔,最多支持八级目录如:http(s)://a/b/,http(s)://c/d/
c. 非本账号下的域名目录将被忽略
d. 不支持泛域名目录清理缓存,需输入具体目录进行清理
e. 单账号每分钟仅支持添加2次目录刷新任务,单次最多支持100条,且重复的目录将被忽略
5.支持精准访问控制
· 精准访问控制支持的匹配字段及逻辑
| 匹配字段 | 字段描述 | 匹配逻辑 |
|---|---|---|
| URL | 访问请求的URL地址 | · 包含 ·不包含 · 等于 · 不等于 |
| IP | 访问请求的来源IP,支持填写IP或IP段 | · 等于 · 不等于 |
| Referer | 访问请求的来源网址,即该访问请求是从哪个页面跳转产生的 | · 包含 · 不包含 · 不存在 · 长度大于 · 长度等于 · 长度小于 |
| 来路域名 | 访客通过该域名搜索或浏览目标域名 | · 等于 · 不等于 |
| 访客区域 | 访客所在区域 | · 属于 · 不属于 |
| User-Agent | 发起访问请求的客户端的浏览器标识、渲染引擎标识和版本信息等浏览器相关信息 | · 包含 · 不包含 · 等于 · 不等于 · 不存在 · 长度大于 · 长度等于 · 长度小于 |
| 请求类型 | 访问请求的类型,常用的包括POST、GET等 | · 属于 · 不属于 |
| URL请求参数 | URL地址中的参数部分,包括Host、Content-Type、Cookie、Content-Length等 | · 包含 · 不包含 · 等于 · 不等于 · 不存在 · 长度大于 · 长度等于 · 长度小于 |
| POST请求参数 | 请求的content-type为x-www-form-urlencoded时,请求Body里的参数键值对 | · 包含 · 不包含 · 等于 · 不等于 · 不存在 · 长度大于 · 长度等于 · 长度小于 |
| URL查询字符串 | URL查询字符串:请求URL“?”之后的部分,如a=1&b=2 | · 包含 · 不包含 · 等于 · 不等于 · 不存在 · 长度大于 · 长度等于 · 长度小于 |
| 请求头 | HTTP请求头部字段,可指定某一个字段设置策略 | · 包含 · 不包含 · 等于 · 不等于 · 不存在 · 长度大于 · 长度等于 · 长度小于 |
| 请求时间 | 访问云安全节点的请求发起时间 | · 属于 · 不属于 |
| 请求方法 | 访问云安全节点的请求方法,如HEAD、GET、POST、PUT等 | · 等于 · 不等于 |
| 请求协议 | 访问云安全节点的请求协议,如HTTP、HTTPS、Websocket等 | · 属于 · 不属于 |
| 设备类型 | 访问云安全节点的终端应用类型,如QQ浏览器、微信浏览器、PC浏览器等 | · 等于 · 不等于 |
| IP类型 | 访问云安全节点的客户端IP的属性,如搜索引擎、合作伙伴、IDC、僵尸网络等 | · 等于 · 不等于 |
| 后缀 | 请求URL的文件名后缀,如jpg、png、css、php等 | · 等于 · 不等于 |
| 服务端口 | 请求的云安全节点的服务器端口,如80,443 | · 等于 · 不等于 |
| IP请求频率 | 客户端发出请求的频率 | · 大于 X秒Y次 |
| 单IP单URL请求频率 | 客户端发出单个URL的请求频率 | · 大于 X秒Y次 |
| 源响应状态码 | 源服务器响应的请求状态码,如403,404,405等 | · 状态码 等于 X秒Y次 · 状态码 大于 X秒Y次 · 状态码 大于等于 X秒Y次 |
管理防护状态
1.管理防护状态共包含2个步骤:修改DNS解析配置,修改防护状态。
2.第一步:复制已经生成的CNAME值在DNS上添加CNAME类型的解析记录,一般生效时间在10分钟左右。
第二步:启停防护状态,状态调整为防护中/回源,生效时间为立即生效,支持针对单个网站业务的防护开关的启停。
· CNAME值
网站审核通过后,该条记录被分配一个CNAME域名,通过在您的DNS服务商添加该CNAME记录,则可实现网站加速。
· 验证高防服务是否生效
在添加完CNAME记录后,可以在本地ping一下所添加的域名,ping出的结果为高防节点IP,即表示DDoS高防功能生效。
站点管理
· 绑定/切换实例
可选择不同实例套餐,实现不同业务防护能力。
· 解绑实例
解绑后该域名将停止服务,请谨慎操作!
域名再次绑定实例后可继续享受服务。
· 关联证书
针对回源配置里添加了HTTPS协议的源站,在站点列表-更多-关联证书里进行证书的关联,前提是所关联证书在证书管理模块中已存在。
· 删除域名
删除操作无法恢复,且域名会与实例解绑。请谨慎操作!
日志管理
日志下载
1.支持日志下载功能
2.支持日志下载类型:CSV、JSON、XLS
· 支持下载6个月内的攻击日志和访问日志。
· 生成的日志将保存15天,过期需要重新生成后下载,请在有效期内及时下载。
· 关联模板时只支持关联已启用的模板。
· 关联模板后日志类型、下载字段、限制条件将无法编辑,如需更改请至对应模板中编辑。
模板管理
1.支持日志模板管理功能,通过日志模板生成日志。
2.支持创建日志模板,包含:模板名称、域名、日志类型、模板分组、是否启用。
系统报表
1.支持通过图表的形式汇总客户接入防护后的流量情况,包括CC攻击分析、DDoS攻击。
2.支持图表转换为折线图,柱状图。
流量带宽
1.支持根据域名、快捷时间、时间范围进行筛选。
CC攻击分析
DDoS攻击
1.支持根据实例名称、快捷时间、时间范围进行筛选。
证书管理
SSL证书是遵守SSL安全套接层协议的服务器数字证书,由浏览器中受信任的根证书颁发机构在验证服务器身份后颁发。具有网站身份验证和加密传输双重功能。常用格式有:JSK、PEM、KEY、CRT、KDB、PFX,证书的密钥一般是成对出现的,包含公钥和私钥两部分。
1.点击+上传证书按钮,进入“上传证书”窗口,在弹窗中填写证书名称并上传证书。
2.上传证书需要提交证书公钥和私钥。
· 证书可以重复上传,但是证书名称不可重复
· 如证书需要被多个域名使用,请上传多次不同名称的相同证书,以保证正常使用