接入设置
注意事项:「企业版 DDoS 高防 IP 」不支持对阿里云的云服务器防护,如您的服务器是独立在阿里云购买的,请选择「经典版 DDoS 高防 IP」。
1. 自定义非标端口
(1)DDoS高防标准功能套餐规格的实例针对网站业务默认支持HTTP(80、8080)和HTTPS(443、8443)标准端口的DDoS攻击防护。
(2)增强功能套餐实例支持更多的HTTP、HTTPS业务非标准端口,且对被防护域名使用的不同端口的总数有相应限制。针对每个DDoS高防增强功能规格的实例,由该实例防护的全部域名所使用的不同端口的总数最多为10个。
-
针对HTTP和WebSocket协议,DDoS高防增强功能规格实例支持以下端口:
80, 83, 84, 88, 89, 800, 808, 1000, 1090, 3333, 3501, 3601, 5000, 5222, 6001, 6666, 7000, 7001, 7002, 7003, 7004, 7005, 7006, 7009, 7010, 7011, 7012, 7013, 7014, 7015, 7016, 7018, 7019, 7020, 7021, 7022, 7023, 7024, 7025, 7026, 7060, 7070, 7081, 7082, 7083, 7088, 7097, 7777, 7800, 8000, 8001, 8002, 8003, 8008, 8009, 8020, 8021, 8022, 8025, 8026, 8077, 8078, 8080, 8081, 8082, 8083, 8084, 8085, 8086, 8087, 8088, 8089, 8090, 8091, 8106, 8181, 8334, 8336, 8800, 8686, 8787, 8888, 8889, 8999, 9000, 9001, 9002, 9003, 9080, 9200, 9999, 10000, 10001, 10080, 12601, 86, 9021, 9023, 9027, 9037, 9081, 9082, 9201, 9205, 9207, 9208, 9209, 9210, 9211, 9212, 9213, 48800, 87, 97, 7510, 9180, 9898, 9908, 9916, 9918, 9919, 9928, 9929, 9939, 28080, 33702 -
针对HTTPS和WebSockets协议,DDoS高防增强功能规格实例支持以下端口:
443, 4443, 5443, 6443, 7443, 8443, 9443, 8553, 8663, 9553, 9663, 18980
2. 放行DDoS高防回源IP
为网站启用DDoS高防服务时,为了避免DDoS高防的回源流量被源站服务器上的安全软件误拦截,建议您设置放行DDoS高防回源IP。
网站成功接入DDoS高防后,所有网站访问请求将先流转到DDoS高防,经DDoS高防实例清洗后再返回到源站服务器。流量经DDoS高防实例返回源站的过程称为回源。
DDoS高防作为一个反向代理,其中包含了一个Full NAT的架构。
启用DDoS高防代理后,由于高防回源的IP段固定且有限,对于源站来说所有的请求都是来自高防回源IP段,因此分摊到每个回源IP上的请求量会增大很多(可能被误认为回源IP在对源站进行攻击)。此时,如果源站有其它防御DDoS的安全策略,很可能对回源IP进行拦截或者限速。
例如,最常见的502错误,即表示高防IP转发请求到源站,但源站却没有响应(因为回源IP可能被源站的防火墙拦截)。
所以,在配置完转发规则后,强烈建议您关闭源站上的防火墙和其他任何安全类软件(如安全狗等),确保高防的回源IP不受源站本身安全策略的影响;或者请在网站配置中找到回源IP,在源站服务器的安全软件中设置放行DDoS高防的回源IP地址。