阿里云国际DDoS高防如何添加网站配置？

将网站域名配置到DDoS高防后，DDoS高防会为网站生成一个CNAME地址，您需要将网站域名的DNS解析指向高防CNAME地址，DDoS高防才能转发业务流量为网站防御DDoS攻击。本文介绍如何添加网站配置。

注意事项

接入DDoS高防（中国内地）的网站必须经过ICP备案，接入DDoS高防（非中国内地）的网站没有ICP备案的限制。

说明

DDoS高防（中国内地）会定期查询已接入防护的网站域名的备案状态，备案失效时DDoS高防（中国内地）会停止相关业务的流量转发，并在域名接入页面提示“域名未履行ICP备案，请您及时更新备案状态”。出现提示时，如果您需要恢复业务流量转发，必须及时更新域名的备案状态。
如果您的高防回源站点为阿里云产品时，需要同时满足高防及回源产品的备案要求，否则将影响回源流量转发，具体请查看各云产品的官网文档或咨询技术支持人员。

前提条件

已购买DDoS高防（中国内地）实例或DDoS高防（非中国内地）实例。
如果网站业务要接入DDoS高防（中国内地）实例，网站域名必须已经完成ICP备案。

添加网站配置

登录DDoS高防控制台。
在顶部菜单栏左上角处，选择地域。
- DDoS高防（中国内地）：选择中国内地地域。
- DDoS高防（非中国内地）：选择非中国内地地域。
在左侧导航栏，选择接入管理 > 域名接入。

在域名接入页面，添加网站配置。

添加单条网站配置

单击添加网站，按照页面提示，完成填写网站信息，然后单击添加。

配置项	说明
功能套餐	选择要关联的DDoS高防实例的功能套餐。可选项：标准功能、增强功能。说明将光标放置在功能套餐后的图标上，查看标准功能和增强功能套餐的功能差异。
实例	选择要关联的DDoS高防实例。一个网站域名最多可以关联8个DDoS高防实例，且只能关联同一种功能套餐下的实例。
网站	填写要防护的网站域名。具体要求如下：域名可以由英文字母（a~z、A~Z，不区分大小写）、数字（0~9）以及短划线（-）组成。域名的首位必须是字母或数字。支持填写泛域名，例如，`.aliyundoc.com`。使用泛域名时，DDoS高防自动匹配该泛域名对应的子域名。如果同时存在泛域名和精确域名配置（例如，`.aliyundoc.com`和`www.aliyundoc.com`），DDoS高防优先使用精确域名（即`www.aliyundoc.com`）所配置的转发规则和防护策略。说明如果您填写的是一级域名，DDoS高防仅防护您的一级域名，不支持对二级域名等子域名进行防护。如果您要防护二级域名，请输入二级域名或者泛域名。
协议类型	选择网站支持的协议类型。可选项： HTTP HTTPS：网站支持HTTPS加密认证时，请选中HTTPS协议。并在完成网站配置后上传网站域名使用的HTTPS证书。选中HTTPS协议后，可以根据需要开启以下高级设置。开启HTTPS的强制跳转：适用于网站同时支持HTTP和HTTPS协议。开启该设置后，所有HTTP请求将被强制转换为HTTPS请求，且默认跳转到443端口。重要只有同时选中HTTP和HTTP协议，并且没有选中Websocket协议时，才可以开启该设置。 HTTP非标准端口（80以外的端口）访问的场景下，如果开启了HTTPS强制跳转，则访问默认跳转到HTTPS 443端口。开启HTTP回源：如果网站不支持HTTPS回源，请务必开启该设置。开启该设置后，所有HTTPS协议请求将通过HTTP协议回源、所有Websockets协议请求将通过Websocket协议回源，且默认回源端口为80。重要 HTTPS非标准端口（443以外的端口）访问的场景下，如果开启了HTTP回源，则访问默认跳转到源站HTTP 80端口。启用HTTP2：开关开启表示允许HTTP 2.0协议客户端接入高防，但此时DDoS高防仍使用HTTP 1.1回源到源站。 HTTP 2.0功能规格说明 Websocket：选中该协议将自动同时选中HTTP协议，不支持单独选中Websocket协议。 Websockets：选中该协议将自动同时选中HTTPS协议，不支持单独选中Websockets协议。
启用OCSP	选择是否启用OCSP（Online Certificate Status Protocol）功能。重要该功能适用于网站HTTPS业务。如果您已选择的协议类型包含HTTPS，推荐启用该功能。 OCSP表示在线证书状态协议，该协议用于向签发证书的CA（Certificate Authority）中心发起查询请求，检查证书是否被吊销。在与服务器进行TLS握手时，客户端必须同时获取证书和对应的OCSP响应。未启用（默认）：表示由客户端浏览器向CA中心发起OCSP查询。该方式会导致客户端在获得OCSP响应前阻塞后续的事件，在网络情况不佳时，将造成较长时间的页面空白，降低HTTPS的性能。启用：表示由DDoS高防来执行OCSP查询并缓存查询结果（缓存时间为300秒）。当有客户端向服务器发起TLS握手请求时，DDoS高防将证书的OCSP信息随证书链一起发送给客户端，从而避免了客户端查询会产生的阻塞问题。由于OCSP响应是无法伪造的，因此这一过程不会产生额外的安全问题。
服务器地址	选择源站服务器的地址类型，并填写源站服务器的地址。支持的地址类型包括：源站IP：表示源站服务器的IP地址。最多支持配置20个源站IP地址，多个IP地址间使用半角逗号（,）分隔。如果源站在阿里云，一般填写源站ECS的公网IP地址；如果ECS前面部署了SLB，则填写SLB的公网IP地址。如果源站在阿里云外的IDC机房或者其他云服务商，您可以使用`ping 域名`命令，查询域名解析到的公网IP地址，并填写获取的公网IP。源站域名：通常适用于源站和高防之间还部署有其他代理服务（例如，Web 应用防火墙 WAF（Web Application Firewall））的场景，表示代理服务的跳转地址。最多支持配置10个源站域名，多个域名间通过换行分隔。例如，您在部署DDoS高防实例后还需要部署WAF，以提升应用安全防护能力，您可以选择源站域名，并填写WAF的CNAME地址。重要配置多个服务器地址（源站IP、源站域名）后，DDoS高防默认以IP Hash的方式转发网站访问流量至源站，自动实现负载均衡。保存网站配置后，您可以通过回源设置，修改源站负载算法。
服务器端口	根据协议类型，设置源站提供对应服务的端口。 HTTP协议、Websocket协议的端口默认为80。 HTTPS协议、HTTP2协议、Websockets协议的端口默认为443。您可以单击自定义，自定义服务器端口，多个端口间使用半角逗号（,）分隔，具体限制如下。自定义端口必须在可选端口范围内。标准功能实例： HTTP协议可选端口：80、8080。 HTTPS协议可选端口：443、8443。增强功能实例： HTTP协议可选端口范围：80~65535。 HTTPS协议可选端口范围：80~65535。所有接入DDoS高防实例防护的网站业务下自定义的不同端口（包含不同协议下的自定义端口）的总数不能超过10个。例如，您有2个网站（A和B），网站A提供HTTP服务、网站B提供HTTPS服务。如果网站A的接入配置中自定义了HTTP 80、8080端口，那么在网站B的接入配置中，最多可以自定义8个不同的HTTPS端口。
Cname Reuse	仅DDoS高防（非中国内地）支持配置该参数。选择是否开启CNAME复用。该功能适用于同一台服务器上有多个网站业务的场景。开启CNAME复用后，您只需将同一个服务器上多个域名的解析指向同一个高防CNAME地址，即可将多个域名接入高防，无需为每个域名分别添加高防网站配置。

批量添加网站配置
1. 在域名接入页面的最下方，单击批量导入，在批量创建面板输入网站配置，然后单击下一步。
  
  说明
  
  网站配置采用XML文件格式传入，如果输入的XML配置参数文本内容正确，则其将被解析成所需导入的网站配置。
2. 在导入规则面板，选中要导入的网站配置，然后单击确定。

后续配置

（可选）更换源站ECS服务器的公网IP地址。

如果您的源站是阿里云ECS服务器，且源站IP地址不慎暴露，您需要更换ECS云服务器的公网IP，防止黑客绕过DDoS高防直接攻击源站。
在源站服务器上放行DDoS高防回源IP。

如果源站服务器上安装了防火墙等安全软件，您需要在源站放行DDoS高防回源IP，避免由高防转发回源站的流量被误拦截。
在本地验证转发配置是否生效。

警告

如果转发配置未生效就执行业务切换，将可能导致业务中断。
修改DNS解析将业务流量切换到DDoS高防。

添加网站配置后，DDoS高防为网站分配一个CNAME地址，您必须将网站域名的DNS解析指向高防CNAME地址，才可以正式将业务流量切换到高防实例进行防护。
（可选）配置网站业务DDoS防护策略。

DDoS高防默认为接入防护的网站开启了DDoS全局防护策略、AI智能防护，您还可以在网站业务DDoS防护页签，开启更多防护功能。

重要

设置CC安全防护后，可能会被植入Cookie。
（可选）配置云监控告警。

针对DDoS高防的常用业务指标（例如，高防IP流量、连接数等）、攻击事件（例如，黑洞、清洗事件）设置告警规则，使云监控在高防上业务发生异常时，及时向您发送告警，帮助您缩短响应时间，尽快恢复业务。
（可选）配置全量日志服务。

DDoS高防采集并存储网站业务的全量日志数据，供您进行业务查询与分析。DDoS高防全量日志服务默认存储180天内的网站全量日志，帮助您满足等保合规要求。