高防IP功能的使用

购买高防IP

1.登录百度智能云平台:

  • 若没有用户名,请先完成注册,操作请参考注册

  • 若有用户名,登录操作请参考登录
    2.在管理控制台中选择“产品服务 > DDoS防护服务 ”,选择高防IP,然后点击“购买高防IP”进入购买DDoS增值服务页面。

3.在配置信息中用户可以根据业务需求自主选择线路

注意:

BGP为多线接入,其涵盖电信、联通、移动等多个线路,会自动选择一个最优线路进行使用,含有一个高防IP且每个IP均为独享防护资源。

4.根据需要选择相应的保底峰值和弹性防护峰值。

注意:

  • 保底防护峰值部分的付费方式为按月支付的预付费方式,实际DDoS攻击峰值超出保底的部分时,根据峰值大小按天计费。
  • 弹性防护峰值部分的付费方式为按天支付的后付费方式,需要百度智能云提供的最大DDoS防护能力,根据实际攻击峰值按天付费,无攻击或不超过保底防护时则不产生费用。

5.根据用户业务需求选择购买时长,然后点击下一步,选择支付方式,点击支付完成服务的购买。

注意:

购买时长为一年时,总价打8.3折,为两年时打7折,为三年时打5折。

高防IP续费

1.在管理控制台中选择“产品服务 > DDoS防护服务 ”,在高防IP列表中选择需要续费的EIP实例,然后在其对应的操作中选择“续费”。

2.在续费页面中选择续费时长,可以选择按月和按年两种方式续费。

3.确认续约时长后点击下一步,选择支付方式,然后点击支付完成续约高防IP的操作。

高防IP的转发设置

操作步骤

第一步:登录控制台高防IP配置页面

1.在左侧导航选择“DDoS防护服务>高防IP”,进入“高防IP列表”页面。

2.选择需要设置转发规则的 EIP 实例,点击“转发设置”。

3.进入转发设置页面然后选择“创建转发规则”,进入转发规则创建页面。

4.根据用户需求选择相应的协议连接高防中心,包括TCP、UDP、HTTP、HTTPS,非网站类业务如游戏和金融,使用TCP和UDP,网站类业务使用HTTP和HTTPS,并设置前端端口。

第二步:转发规则的确定

具体转发规则如下图所示:

下表是对转发架构图中出现的名词的解释:

名词 描述
前端协议[端口] 指定高防中心监听的协议和端口(即用户最终想通过什么协议和端口来访问高防中心)。端口输入范围为1~65535间的整数。
回源协议[端口] 指定后端服务器提供服务的协议和端口。高防中心转发请求至目标服务器,目标服务器监听的端口,端口输入范围为1~65535间的整数。
转发规则 加权轮询:依据后端服务器的权重,将请求轮流发送给后端服务器。
最小连接数:优先将请求发给拥有最少连接数的后端服务器。
源IP:仅针对前端协议配置为TCP和UDP的情况,将请求的源IP进行hash运算后派发请求至某匹配的服务器,这可以保证同一个客户端IP的请求始终被派发至某特定的服务器。源IP算法为TCP和UDP监听器提供会话保持机制。

1.非网站类业务新建转发规则

用户选择非网站类业务,即前端协议选择TCP和UDP协议,填写前端端口,然后填写回源IP和回源端口(源站提供服务的真实端口),最后选择转发规则。

注意:

  • 非网站类业务不支持配置80/443端口;
  • 转发规则包括加权轮询、最小连接数、源IP,以实现多源站的负载均衡,且BGP线路支持:轮询、最小连接数、源IP;三线和电信单线只支持自动回源

2.网站类业务新建转发规则

用户选择网站类业务,即选择HTTP或HTTPS协议,则需要填写域名(支持泛域名),只有配置域名的HTTP和HTTPS才会被转。

  • 2.1 当前端协议选择为HTTP时,填写前端端口、域名、回源IP和回源端口,最后选择转发规则并设置回源超时时间,并选择是否开启CC防护

  • 2.2 当前端协议选择为HTTPS时,相对于HTTP协议,会多出一个HTTPS证书选项,用户可以选择自有证书,也可以添加证书和申购SSL证书。

注意:

  • 回源协议默认和前端协议保持一致,特别说明若前端协议为HTTPS,回源协议为HTTP
  • 高防中心会将数据转发至源站,通过源站业务的IP地址和端口。且回源IP最多设置50个
  • 回源IP不能为私有IP地址、127.0.0.1等特殊IP地址
  • 发规则包括加权轮询、最小连接数,以实现多源站的负载均衡。且BGP线路支持:轮询、最小连接数、源IP;三线和电信单线只支持自动回源
  • TCP/UDP转发下没有CC防护功能(包括IP/URL黑白名单)黑名单定义:满足条件的停止一切访问;白名单定义:满足条件的跳过所有防护策略

第三步:健康设置

1.非网站类业务选择TCP健康检查协议,并按照提示完成相应的设置。

注意:

  • 响应超时时间和健康检查间隔的输入范围为1~60间的整数,建议设置为3秒。
  • 不健康阈值的选择范围为2~5的整数,表示连续健康检查失败次数,超过这个阈值,服务器将被认定为异常,从服务器池中摘除,直到恢复正常。
  • 健康阈值的选择范围为2~5的整数,表示连续健康检查成功次数,超过这个阈值,服务器将被认定为异常排除,重新加入服务器池。

2.网站类业务选择HTTP健康检查协议,按照要求完成相应的设置。

注意:

  • Host头域中需要填写发往后端服务器的健康检查请求的Host头域,默认为空。
  • 检查端口输入范围为1~65535间的整数,如果不指定则使用后端服务器的端口进行健康检查。
  • 检查路径,用于健康检查页面文件的URI,建议对静态页面进行检查。长度限制为1-80个字符,只能使用字母、数字、‘-’、‘/’、‘.’、‘%’、 ‘?’、‘#’、‘&’这些字符。
  • 响应超时时间和健康检查间隔的输入范围为1~60间的整数,建议设置为3秒。
  • 不健康阈值的选择范围为2~5的整数,表示连续健康检查失败次数,超过这个阈值,服务器将被认定为异常,从服务器池中摘除,直到恢复正常。
  • 健康阈值的选择范围为2~5的整数,表示连续健康检查成功次数,超过这个阈值,服务器将被认定为异常排除,重新加入服务器池。
  • 正常状态码的选项不能为空。