干货 | IP高防使用配置

1、知识简介

DoS（Denial of Service），即拒绝服务攻击。该攻击是利用目标系统网络服务功能缺陷或者直接消耗其系统资源，目的是使该目标客户的系统不可用，没法提供正常的服务。

DDoS（Distributed Denial of Service attack），即分布式拒绝服务攻击。是指借助于黑客技术，将多个计算机联合起来变为“僵尸主机”，联合起来对一个或多个目标发动DDoS攻击，以成倍地拒绝服务攻击威力，使受害者没法提供网络服务。

CNAME：别名记录。即实现将一个域名解析到另外的一个域名，CNAME可将多个主机名指向一个别名，从而实现快速地变动IP地址。

黑洞：黑洞是指服务器所受攻击流量超过用户购买高防的套餐防御上限时，京东云IP高防将屏蔽服务器的外网访问。

IP高防原理及示意图：

用户开通IP高防服务，配置将用户访问的IP地址引流到高防服务提供的IP地址上，通过IP高防服务对全部异常流量的实时检测和清洗，确保仅正常流量可回源到用户服务器，从而保证了源站的稳定可靠。

IP高防实例

IP高防实例是京东云提供给客户的一种安全防御服务，客户能够在IP高防实例上配置各类防御的配置，规则，例如购买高防的防御能力，从10G到400G以抵御不一样攻击的规模；转发的规则，例如回源的规则；黑白名单

弹性防御

京东云IP高防的计费项有三个：保底防御带宽、业务带宽、弹性防御带宽
保底防御带宽：指购买的单位时间内，提供的固定攻击防御峰值，单位为Gbps。
业务带宽：指非 DDoS 攻击状态下的正常业务消耗带宽，单位为Mbps。默认赠送100Mbps，可根据须要购买更大的业务带宽。（高防到客户源站的带宽）
弹性防御带宽：超过保底防御，按照所在的最大弹性计费区间，生成的费用，单位为Gbps。

例如：
保底防御带宽 10G + 业务带宽 100M + 弹性防御带宽

弹性防御带宽 若是是 0G，表明没有没有弹性，若是被攻击的流量超过10G，将触发黑洞，服务器的全部访问将被屏蔽。IP高防默认的黑洞策略是封禁2小时，若是2小时内该服务器再也不遭受攻击，将自动解封。若是攻击流量过大，触发了运营商的封禁，解封时长将由运营商的策略决定，时长不肯定

弹性防御带宽 若是是 10G，表明被攻击的流量能够达到 20G（弹性防御是按天后付费）

2、IP高防使用配置流程

配置网站（备案）

注意：
正式的网站上线须要先作备案的。

京东云IP高防只针对作过备案的域名提供服务，因此须要首先对域名进行备案

2.1.1登陆京东云，选择“备案”

2.1.2“开始备案”

2.1.3填写备案信息，而后“验证”

2.1.4输入主体信息，而后“下一步”

2.1.5填写网站信息，而后“下一步”

2.1.6上传我的资料，而后“下一步”

2.1.7提交信息

2.1.8 提示后，“继续提交”

2.1.9 完成备案信息的提交（京东云将在1个工做日内完成备案初审审核）

在控制台能够看到备案网站的信息

2.1.10 须要上传蓝底的照片

2.1.11 以上步骤都执行完成之后，备案会提交到工信部审核，大概须要等20个工做日

2.1.12 工信部审核经过之后，相应的人即备案的时候提交了谁的信息，谁就会收到工信部确认经过的短信，和邮件。

建立IP高防实例

2.2.1登陆京东公有云

2.2.2打开控制台

2.2.3选择“云安全”->“IP高防”->“实例列表”

2.2.4 点击按钮“建立”

2.2.5输入高防实例的信息

实例名称：dcf-ipgf
线路类型：电信
IP个数：1个
保底防御峰值：10Gbps
CC防御峰值：30,000QPS
弹性防御峰值：0Gbps
业务带宽(M)：100M
端口数：60个
防御域名数：60个
数 量：1
购买时长：1个月

注意：

IP高防支持单线和多线的线路购买。

• 单线：电信线路支持最大400G的防御带宽。

• 多线：电信+联通线路，支持最大400G的防御带宽。默认状况下电信线路会解析到电信机房，联通线路解析到联通机房。如攻击流量超过联通机房的最大容量，线路会解析到电信线路完成清洗。

点击按钮“当即购买”

当即支付

购买完成之后，就会在实例列表里看到咱们购买的IP高防实例

建立网站

使用一个云主机搭建一个HTTP服务便可

配置转发规则

点击连接“转发配置” 配置转发规则

切换到“网站转发配置”，而后“添加规则”

填写新规则
域名添加：www.katest1.com（请使用本身申请的域名）
转发协议：HTTP
源站端口：80
转发规则：轮询
回源方式：回源IP(请使用本身申请的IP地址，这个地址就是上面建立WEB网站对应的地址，若是有多个网站IP，就能够填写多个对应的IP地址)
是否关联云内公网IP：否
备用IP：空缺便可

填写完成规则之后，在下方就能够看到出现如下记录

配置CNAME

将上图中的CNAME先拷贝如下

切换到京东云云解析页面

选择域名katest1.com（请选择本身的域名进行操做），点击域名右边的连接“解析”
点击按钮“添加解析”新增一条新的解析。
主机记录：www.katest1.com
记录类型:CNAME – 将域名指向另一个域名
记录值：将上面拷贝的CNAME值粘贴到这里
解析线路：默认
TTL：1分钟

添加完成之后，会增长一条CNAME的记录

3、验证IP高防发挥做用

验证提供了两种方法，可任选其一

验证方法一：

登陆本身的笔记本，打开CMD命令行窗口（Linux或者Mac，请打开相应的命令行界面）
Ping一下网址www.katest1.com（这里请ping本身使用的网址）
Ping获得的地址是IP高防设置的CNAME地址，已经对应的IP地址

打开一个浏览器（IE，Chrome，FF均可以）输入网址www.katet1.com，网站可以正常的访问。

到此说明，咱们的IP高防已经发挥做用，将流量过滤之后，转发到了源站。

验证方法二：

找一台linux云主机，SSH登陆到上面，具体方法参考课件“云主机”。
输入下面的命令

curl -x www.katest1.com.zwvf3cnz.jcloudgslb.com:80 www.katest1.com
格式参考：curl -x cname:port DomainName，请替换本身的域名。若是获得了网页的输出内容，证实IP高防工做正常。

👼👼👼

若是你还没看够，不要紧！

点击下方标题，可进行深刻阅读哦！

↓↓↓

干货 | 京东云帐号安全管理最佳实践

京东云专业安全服务介绍

阅读原文