乾貨 | IP高防使用配置

1、知識簡介

DoS（Denial of Service），即拒絕服務攻擊。該攻擊是利用目標系統網絡服務功能缺陷或者直接消耗其系統資源，目的是使該目標客戶的系統不可用，沒法提供正常的服務。

DDoS（Distributed Denial of Service attack），即分佈式拒絕服務攻擊。是指藉助於黑客技術，將多個計算機聯合起來變爲「殭屍主機」，聯合起來對一個或多個目標發動DDoS攻擊，以成倍地拒絕服務攻擊威力，使受害者沒法提供網絡服務。

CNAME：別名記錄。即實現將一個域名解析到另外的一個域名，CNAME可將多個主機名指向一個別名，從而實現快速地變動IP地址。

黑洞：黑洞是指服務器所受攻擊流量超過用戶購買高防的套餐防禦上限時，京東雲IP高防將屏蔽服務器的外網訪問。

IP高防原理及示意圖：

用戶開通IP高防服務，配置將用戶訪問的IP地址引流到高防服務提供的IP地址上，通過IP高防服務對全部異常流量的實時檢測和清洗，確保僅正常流量可回源到用戶服務器，從而保證了源站的穩定可靠。

IP高防實例

IP高防實例是京東雲提供給客戶的一種安全防禦服務，客戶能夠在IP高防實例上配置各類防禦的配置，規則，例如購買高防的防禦能力，從10G到400G以抵禦不一樣攻擊的規模；轉發的規則，例如回源的規則；黑白名單

彈性防禦

京東雲IP高防的計費項有三個：保底防禦帶寬、業務帶寬、彈性防禦帶寬
保底防禦帶寬：指購買的單位時間內，提供的固定攻擊防禦峯值，單位爲Gbps。
業務帶寬：指非 DDoS 攻擊狀態下的正常業務消耗帶寬，單位爲Mbps。默認贈送100Mbps，可根據須要購買更大的業務帶寬。（高防到客戶源站的帶寬）
彈性防禦帶寬：超過保底防禦，按照所在的最大彈性計費區間，生成的費用，單位爲Gbps。

例如：
保底防禦帶寬 10G + 業務帶寬 100M + 彈性防禦帶寬

彈性防禦帶寬 若是是 0G，表明沒有沒有彈性，若是被攻擊的流量超過10G，將觸發黑洞，服務器的全部訪問將被屏蔽。IP高防默認的黑洞策略是封禁2小時，若是2小時內該服務器再也不遭受攻擊，將自動解封。若是攻擊流量過大，觸發了運營商的封禁，解封時長將由運營商的策略決定，時長不肯定

彈性防禦帶寬 若是是 10G，表明被攻擊的流量能夠達到 20G（彈性防禦是按天后付費）

2、IP高防使用配置流程

配置網站（備案）

注意：
正式的網站上線須要先作備案的。

京東雲IP高防只針對作過備案的域名提供服務，因此須要首先對域名進行備案

2.1.1登陸京東雲，選擇「備案」

2.1.2「開始備案」

2.1.3填寫備案信息，而後「驗證」

2.1.4輸入主體信息，而後「下一步」

2.1.5填寫網站信息，而後「下一步」

2.1.6上傳我的資料，而後「下一步」

2.1.7提交信息

2.1.8 提示後，「繼續提交」

2.1.9 完成備案信息的提交（京東雲將在1個工做日內完成備案初審審覈）

在控制檯能夠看到備案網站的信息

2.1.10 須要上傳藍底的照片

2.1.11 以上步驟都執行完成之後，備案會提交到工信部審覈，大概須要等20個工做日

2.1.12 工信部審覈經過之後，相應的人即備案的時候提交了誰的信息，誰就會收到工信部確認經過的短信，和郵件。

建立IP高防實例

2.2.1登陸京東公有云

2.2.2打開控制檯

2.2.3選擇「雲安全」->「IP高防」->「實例列表」

2.2.4 點擊按鈕「建立」

2.2.5輸入高防實例的信息

實例名稱：dcf-ipgf
線路類型：電信
IP個數：1個
保底防禦峯值：10Gbps
CC防禦峯值：30,000QPS
彈性防禦峯值：0Gbps
業務帶寬(M)：100M
端口數：60個
防禦域名數：60個
數 量：1
購買時長：1個月

注意：

IP高防支持單線和多線的線路購買。

• 單線：電信線路支持最大400G的防禦帶寬。

• 多線：電信+聯通線路，支持最大400G的防禦帶寬。默認狀況下電信線路會解析到電信機房，聯通線路解析到聯通機房。如攻擊流量超過聯通機房的最大容量，線路會解析到電信線路完成清洗。

點擊按鈕「當即購買」

當即支付

購買完成之後，就會在實例列表裏看到咱們購買的IP高防實例

建立網站

使用一個雲主機搭建一個HTTP服務便可

配置轉發規則

點擊連接「轉發配置」 配置轉發規則

切換到「網站轉發配置」，而後「添加規則」

填寫新規則
域名添加：www.katest1.com（請使用本身申請的域名）
轉發協議：HTTP
源站端口：80
轉發規則：輪詢
回源方式：回源IP(請使用本身申請的IP地址，這個地址就是上面建立WEB網站對應的地址，若是有多個網站IP，就能夠填寫多個對應的IP地址)
是否關聯雲內公網IP：否
備用IP：空缺便可

填寫完成規則之後，在下方就能夠看到出現如下記錄

配置CNAME

將上圖中的CNAME先拷貝如下

切換到京東云云解析頁面

選擇域名katest1.com（請選擇本身的域名進行操做），點擊域名右邊的連接「解析」
點擊按鈕「添加解析」新增一條新的解析。
主機記錄：www.katest1.com
記錄類型:CNAME – 將域名指向另一個域名
記錄值：將上面拷貝的CNAME值粘貼到這裏
解析線路：默認
TTL：1分鐘

添加完成之後，會增長一條CNAME的記錄

3、驗證IP高防發揮做用

驗證提供了兩種方法，可任選其一

驗證方法一：

登陸本身的筆記本，打開CMD命令行窗口（Linux或者Mac，請打開相應的命令行界面）
Ping一下網址www.katest1.com（這裏請ping本身使用的網址）
Ping獲得的地址是IP高防設置的CNAME地址，已經對應的IP地址

打開一個瀏覽器（IE，Chrome，FF均可以）輸入網址www.katet1.com，網站可以正常的訪問。

到此說明，咱們的IP高防已經發揮做用，將流量過濾之後，轉發到了源站。

驗證方法二：

找一臺linux雲主機，SSH登陸到上面，具體方法參考課件「雲主機」。
輸入下面的命令

curl -x www.katest1.com.zwvf3cnz.jcloudgslb.com:80 www.katest1.com
格式參考：curl -x cname:port DomainName，請替換本身的域名。若是獲得了網頁的輸出內容，證實IP高防工做正常。

👼👼👼

若是你還沒看夠，不要緊！

點擊下方標題，可進行深刻閱讀哦！

↓↓↓

乾貨 | 京東雲帳號安全管理最佳實踐

京東雲專業安全服務介紹

閱讀原文