中国站
帮助中心 > 安全 > 高防IP > 最佳实践 > 高防IP接入配置最佳实践

高防IP接入配置最佳实践

准备工作

  1. 域名备案(购买香港高防IP不需要备案)。

  2. 如需支持HTTPS协议访问,则需要准备证书和私钥.一般包含格式为 .crt 的公钥文件或格式为 .pem 的证书文件、格式为 .key 的私钥文件。

  3. 具有网站DNS域名解析管理员的账号,用于修改DNS解析记录将网站流量切换至亿速云高防IP。

  4. 在接入网站至亿速云高防IP前,对网站进行压力测试。

  5. 检查网站业务是否已有信任的访问客户端(例如监控系统、通过内部固定IP或IP段调用的API接口、固定的程序客户端请求等)。在将业务接入后,需要将这些信任的客户端IP加入白名单。

高防IP配置

  1. 在用户端”网站防护”中,添加要防护的网站信息。

  2. 如果您接入WAF的网站域名的业务源站使用的是Windows IIS Web服务,在配置HTTPS域名时,IIS默认会启用需要服务器名称指示(即SNI)。这种情况下,在将域名接入WAF后可能会出现访问空白页502的错误信息,您只需禁用该配置选项即可解决该问题。

  3. 购买完高防IP后,测试高防IP是否能ping通。

  4. 解析域名至高防IP。

  5. 修改本地的hosts。测试是否能够访问成功。

注意事项

  1. 如果您的源站服务器上部署了非亿速云安全软件(例如防火墙),请将DDOS高防IP段加入安全软件的白名单。

  2. 启用DDoS高防代理后,由于高防回源的IP段固定且有限,对于源站来说所有的请求都是来自高防回源IP段,因此分摊到每个回源IP上的请求量会增大很多(可能被误认为回源IP在对源站进行攻击)。此时,如果源站有其它防御DDoS的安全策略,很可能对回源IP进行拦截或者限速。
    例如,最常见的502错误,即表示高防IP转发请求到源站,但源站却没有响应(因为回源IP可能被源站的防火墙拦截)。

    请将域名绑定的高防IP添加到云服务器的安全组中,否则云服务器会拦截请求。

泛域名支持

网站防护支持泛域名网址。原则上,如果设置了泛域名规则,可应用于该域名下的所有二级域名。如果已经设置了二级域名的规则,则优先使用该二级域名的规则。