干货 | IP高防使用配置

 

一、知识简介

DoS（Denial of Service），即拒绝服务攻击。该攻击是利用目标系统网络服务功能缺陷或者直接消耗其系统资源，目的是使该目标客户的系统不可用，无法提供正常的服务。

DDoS（Distributed Denial of Service attack），即分布式拒绝服务攻击。是指借助于黑客技术，将多个计算机联合起来变为“僵尸主机”，联合起来对一个或多个目标发动DDoS攻击，以成倍地拒绝服务攻击威力，使受害者无法提供网络服务。

CNAME：别名记录。即实现将一个域名解析到另外的一个域名，CNAME可将多个主机名指向一个别名，从而实现快速地变更IP地址。

黑洞：黑洞是指服务器所受攻击流量超过用户购买高防的套餐防护上限时，京东云IP高防将屏蔽服务器的外网访问。

IP高防原理及示意图：

用户开通IP高防服务，配置将用户访问的IP地址引流到高防服务提供的IP地址上，经过IP高防服务对所有异常流量的实时检测和清洗，确保仅正常流量可回源到用户服务器，从而保证了源站的稳定可靠。

 

IP高防实例

IP高防实例是京东云提供给客户的一种安全防护服务，客户可以在IP高防实例上配置各种防护的配置，规则，例如购买高防的防护能力，从10G到400G以抵御不同攻击的规模；转发的规则，例如回源的规则；黑白名单

 

弹性防护

京东云IP高防的计费项有三个：保底防护带宽、业务带宽、弹性防护带宽
保底防护带宽：指购买的单位时间内，提供的固定攻击防护峰值，单位为Gbps。
业务带宽：指非 DDoS 攻击状态下的正常业务消耗带宽，单位为Mbps。默认赠送100Mbps，可根据需要购买更大的业务带宽。（高防到客户源站的带宽）
弹性防护带宽：超过保底防护，按照所在的最大弹性计费区间，生成的费用，单位为Gbps。

例如：
保底防护带宽 10G + 业务带宽 100M + 弹性防护带宽

弹性防护带宽 如果是 0G，代表没有没有弹性，如果被攻击的流量超过10G，将触发黑洞，服务器的所有访问将被屏蔽。IP高防默认的黑洞策略是封禁2小时，如果2小时内该服务器不再遭受攻击，将自动解封。如果攻击流量过大，触发了运营商的封禁，解封时长将由运营商的策略决定，时长不确定

弹性防护带宽 如果是 10G，代表被攻击的流量可以达到 20G（弹性防护是按天后付费）

 

二、IP高防使用配置流程

 

配置网站（备案）

注意：
正式的网站上线需要先做备案的。

京东云IP高防只针对做过备案的域名提供服务，所以需要首先对域名进行备案

2.1.1登录京东云，选择“备案”

 

2.1.2“开始备案”

2.1.3填写备案信息，然后“验证”

2.1.4输入主体信息，然后“下一步”

2.1.5填写网站信息，然后“下一步”

2.1.6上传个人资料，然后“下一步”

2.1.7提交信息

2.1.8 提示后，“继续提交”

2.1.9 完成备案信息的提交（京东云将在1个工作日内完成备案初审审核）

在控制台可以看到备案网站的信息

2.1.10 需要上传蓝底的照片

2.1.11 以上步骤都执行完成以后，备案会提交到工信部审核，大概需要等20个工作日

2.1.12 工信部审核通过以后，相应的人即备案的时候提交了谁的信息，谁就会收到工信部确认通过的短信，和邮件。

 

创建IP高防实例

2.2.1登录京东公有云

2.2.2打开控制台

2.2.3选择“云安全”->“IP高防”->“实例列表”

2.2.4 点击按钮“创建”

2.2.5输入高防实例的信息

实例名称：dcf-ipgf
线路类型：电信
IP个数：1个
保底防护峰值：10Gbps
CC防护峰值：30,000QPS
弹性防护峰值：0Gbps
业务带宽(M)：100M
端口数：60个
防护域名数：60个
数 量：1
购买时长：1个月

注意：

IP高防支持单线和多线的线路购买。

• 单线：电信线路支持最大400G的防护带宽。

• 多线：电信+联通线路，支持最大400G的防护带宽。默认情况下电信线路会解析到电信机房，联通线路解析到联通机房。如攻击流量超过联通机房的最大容量，线路会解析到电信线路完成清洗。

点击按钮“立即购买”

立即支付

购买完成以后，就会在实例列表里看到我们购买的IP高防实例

 

创建网站

使用一个云主机搭建一个HTTP服务即可

 

配置转发规则

点击链接“转发配置” 配置转发规则

切换到“网站转发配置”，然后“添加规则”

填写新规则
域名添加：www.katest1.com（请使用自己申请的域名）
转发协议：HTTP
源站端口：80
转发规则：轮询
回源方式：回源IP(请使用自己申请的IP地址，这个地址就是上面创建WEB网站对应的地址，如果有多个网站IP，就可以填写多个对应的IP地址)
是否关联云内公网IP：否
备用IP：空缺即可

填写完成规则以后，在下方就可以看到出现以下记录

 

配置CNAME

将上图中的CNAME先拷贝以下

切换到京东云云解析页面

选择域名katest1.com（请选择自己的域名进行操作），点击域名右边的链接“解析”
点击按钮“添加解析”新增一条新的解析。
主机记录：www.katest1.com
记录类型:CNAME – 将域名指向另外一个域名
记录值：将上面拷贝的CNAME值粘贴到这里
解析线路：默认
TTL：1分钟

添加完成以后，会增加一条CNAME的记录

 

三、验证IP高防发挥作用

验证提供了两种方法，可任选其一

验证方法一：

登录自己的笔记本，打开CMD命令行窗口（Linux或者Mac，请打开相应的命令行界面）
Ping一下网址www.katest1.com（这里请ping自己使用的网址）
Ping得到的地址是IP高防设置的CNAME地址，已经对应的IP地址

打开一个浏览器（IE，Chrome，FF都可以）输入网址www.katet1.com，网站能够正常的访问。

到此说明，我们的IP高防已经发挥作用，将流量过滤以后，转发到了源站。

验证方法二：

找一台linux云主机，SSH登录到上面，具体方法参考课件“云主机”。
输入下面的命令

curl -x www.katest1.com.zwvf3cnz.jcloudgslb.com:80 www.katest1.com
格式参考：curl -x cname:port DomainName，请替换自己的域名。如果得到了网页的输出内容，证明IP高防工作正常。

 

 

 

???

如果你还没看够，没关系！

点击下方标题，可进行深入阅读哦！

↓↓↓

干货 | 京东云账号安全管理最佳实践

京东云专业安全服务介绍

 

 

 

转载于:https://my.oschina.net/u/4090830/blog/3063249