高防CDN接入配置最佳实践

操作步骤

1. 域名备案
   (1) 如需支持HTTPS协议访问，则需要准备证书和私钥。一般包含格式为 .crt 的公钥文件或格式为 .pem 的证书文件、格式为 .key 的私钥文件。
   (2) 将域名在“用户端->备案”白名单中进行提交审核。
   (3) 将高防CDN的CNAME对应的高防IP，添加到源服务器的白名单/安全组中。
   

2. 高防CDN网站防护设置
   在用户端，左侧导航栏“网站防护”中，添加要防护的网站信息。
   

   注意：
   如果您接入WAF的网站域名的业务源站使用的是Windows IIS Web服务，在配置HTTPS域名时，IIS默认会启用“需要服务器名称指示（即SNI）”。这种情况下，在将域名接入WAF后可能会出现访问空白页502的错误信息，您只需禁用该配置选项即可解决该问题。

3. 检测
   购买高防CDN后，测试其是否能ping通，检查解析的结果是否为高防CDN和对应的高防IP。
   
   修改本地hosts文件，测试是否能够访问成功。

注意事项

• 如果您的源站服务器上部署了非亿速云的安全软件（例如防火墙），请将高防CDN的回源IP地址加入安全软件的白名单。
  启用高防代理后，由于高防回源的IP段固定且有限，对于源站来说所有的请求都是来自高防回源IP段，因此分摊到每个回源IP上的请求量会增大很多（可能被误认为回源IP在对源站进行攻击）。此时，如果源站有其它防御DDoS的安全策略，很可能对回源IP进行拦截或者限速。例如，最常见的502错误，即表示高防IP转发请求到源站，但源站却没有响应，因为回源IP可能被源站的防火墙拦截。

• 将域名绑定的高防IP添加到服务器的安全组（允许策略）中，否则云服务器会拦截请求。

• 泛域名支持
  网站防护支持泛域名网址。原则上，如果设置了泛域名规则，可应用于该域名下的所有二级域名；如果已经设置了二级域名的规则，则优先使用该二级域名的规则。