高防CDN接入配置最佳實踐

操作步驟

1. 域名備案
   (1) 如需支持HTTPS協(xié)議訪問，則需要準備證書和私鑰。一般包含格式為 .crt 的公鑰文件或格式為 .pem 的證書文件、格式為 .key 的私鑰文件。
   (2) 將域名在“用戶端->備案”白名單中進行提交審核。
   (3) 將高防CDN的CNAME對應(yīng)的高防IP，添加到源服務(wù)器的白名單/安全組中。
   

2. 高防CDN網(wǎng)站防護設(shè)置
   在用戶端，左側(cè)導航欄“網(wǎng)站防護”中，添加要防護的網(wǎng)站信息。
   

   注意：
   如果您接入WAF的網(wǎng)站域名的業(yè)務(wù)源站使用的是Windows IIS Web服務(wù)，在配置HTTPS域名時，IIS默認會啟用“需要服務(wù)器名稱指示（即SNI）”。這種情況下，在將域名接入WAF后可能會出現(xiàn)訪問空白頁502的錯誤信息，您只需禁用該配置選項即可解決該問題。

3. 檢測
   購買高防CDN后，測試其是否能ping通，檢查解析的結(jié)果是否為高防CDN和對應(yīng)的高防IP。
   
   修改本地hosts文件，測試是否能夠訪問成功。

注意事項

• 如果您的源站服務(wù)器上部署了非億速云的安全軟件（例如防火墻），請將高防CDN的回源IP地址加入安全軟件的白名單。
  啟用高防代理后，由于高防回源的IP段固定且有限，對于源站來說所有的請求都是來自高防回源IP段，因此分攤到每個回源IP上的請求量會增大很多（可能被誤認為回源IP在對源站進行攻擊）。此時，如果源站有其它防御DDoS的安全策略，很可能對回源IP進行攔截或者限速。例如，最常見的502錯誤，即表示高防IP轉(zhuǎn)發(fā)請求到源站，但源站卻沒有響應(yīng)，因為回源IP可能被源站的防火墻攔截。

• 將域名綁定的高防IP添加到服務(wù)器的安全組（允許策略）中，否則云服務(wù)器會攔截請求。

• 泛域名支持
  網(wǎng)站防護支持泛域名網(wǎng)址。原則上，如果設(shè)置了泛域名規(guī)則，可應(yīng)用于該域名下的所有二級域名；如果已經(jīng)設(shè)置了二級域名的規(guī)則，則優(yōu)先使用該二級域名的規(guī)則。