添加端口转发规则后,您可以为其配置转发策略,具体包括:会话保持、健康检查、DDoS防护策略。

前提条件

已添加端口转发规则。具体操作请参见步骤1:添加端口配置

背景信息

通过配置转发策略,您可以根据业务实际需求,优化转发功能。例如,
  • 开启基于IP地址的会话保持后,可以将来自同一IP地址的请求转发到同一个后端服务器上。
  • 开启健康检查后,检测后端服务器的可用性,在转发客户端请求时避开异常服务器。
  • DDoS防护策略是基于IP地址和端口级别的防护,支持对接入新BGP高防IP的非网站业务的IP及端口的连接速度、包长度等参数进行限制,实现缓解小流量的连接型攻击的防护功能。

操作步骤

  1. 登录云盾新BGP高防IP控制台
  2. 在左侧导航栏,单击管理 > 端口配置
  3. 端口配置页面,选择要配置的新BGP高防IP实例。
  4. 定位到要配置的转发规则,根据需要为其配置会话保持、健康检查、DDoS防护策略。
    • 会话保持
      1. 单击会话保持列下的配置
      2. 会话保持对话框,根据需要启用或关闭会话保持:
        • 如果要启用会话保持,请设置超时时间,并单击完成
        • 如果要关闭会话保持,直接单击关闭会话保持


    • 健康检查
      1. 单击健康检查列下的配置
      2. 健康检查对话框中,完成健康检查配置。配置描述见下表(单击高级设置可以展开或隐藏高级设置选项)。
        类型 健康检查配置项 说明
        四层、七层 检查端口 健康检查服务访问后端服务器时的探测端口。默认使用源站端口,范围为1~65535。
        仅七层 域名检查路径 仅适用于TCP协议规则。七层健康检查默认由高防转发系统向该服务器应用配置的缺省首页发起HTTP HEAD请求。
        • 如果您用来进行健康检查的页面并不是应用服务器的缺省首页,则需要指定域名和具体的检查路径。
        • 如果您对HTTP HEAD请求限定了host字段的参数,您只需要指定检查路径,即用于健康检查页面文件的URI。域名不用填写,默认为后端服务器的IP。
        高级设置 响应超时时间 每次健康检查的最大超时时间,取值范围为1~30秒。如果后端服务器在指定的时间内没有正确响应,则判定为健康检查失败。
        高级设置 检查间隔 进行健康检查的时间间隔,取值范围为1~30秒。高防集群内所有节点,都会独立、并行地遵循该属性对后端服务器进行健康检查。由于各高防节点的检查时间并不同步,所以,如果从后端某一服务器上进行单独统计,会发现来自高防IP的健康检查请求在时间上没有遵循指定的时间间隔。
        高级设置 不健康阈值 同一高防节点服务器针对同一后端服务器,在健康检查状态为成功时,连续多少次健康检查失败后,状态判定为失败,取值范围为1~10。
        高级设置 健康阈值 同一高防节点服务器针对同一后端服务器,在健康检查状态为失败时,连续多少次健康检查成功后,状态判定为成功,取值范围为1~10。




      3. 单击完成。成功开启健康检查。若您想关闭健康检查,单击配置后,直接在健康检查对话框中单击关闭健康检查即可。
    • DDoS防护策略
      1. 单击DDoS防护策略列下的配置
      2. DDoS防护策略对话框中,完成DDoS防护策略配置。配置描述见下表。
        DDoS防护策略配置项 说明
        虚假源 虚假源防护,仅适用于TCP协议规则。
        空连接 空连接防护,仅适用于TCP协议规则。
        说明 虚假源关闭的情况下,空连接无法开启。
        源新建连接限速 单一源IP每秒新建连接数,超过限制的新建连接将被丢弃。由于防护设备为集群化部署,新建连接限速存在一定误差。支持自动手动设置限速值,取值范围为1~50000。
        源并发连接限速 单一源IP并发连接数,超过限制的并发连接将被丢弃。启用后,手动设置限速值,取值范围为1~50000。
        目的新建连接限速 目的IP及端口每秒最大新建连接数,超过限制的新建连接将被丢弃。由于防护设备为集群化部署,新建连接限速存在一定误差。启用后,手动设置限速值,取值范围100~100000。
        目的并发连接限速 目的IP及端口最大并发连接数,超过限制的连接将被丢弃。启用后,手动设置限速值,取值范围1000~1000000。
        包长度过滤 报文所含payload长度大小,单位为字节(Byte),小于最小长度或大于最大长度的包会被丢弃,取值范围为0~6000。


      3. 单击确定