云安全接入实施手册

1、账号注册

访问https://www.yunaq.com/注册账号,并绑定邮箱手机号方便后期接收重要通知消息。

 

2、接入实施

2.1 接入方式选择

知道创宇云安全云防护方式配置简单,生效快,无需安装任何软件、硬件,也无需对网站做任何改动。启用过程完全不影响网站正常访问,防护网站只需对其DNS进行修改即可实现防护。通常实施方式有两种:

CNAME 接入方式 是一种同时通过域名服务商和云安全的双重域名解析方式,生效速度快,一般10-20分钟生效(具体生效时间由接入域名原有的TTL时间决定),该方式接入操作简单。特别是正在被攻击需要紧急接入的网站,推荐使用别名方式接入

NS接入方式 是将该域名下的所有域名解析都交给知道创宇的分布式域名解析服务器就近解析,通常全球生效时间需要24 ~ 72小时。

2.2 CNAME方式接入操作步骤

2.2.1 添加域名

登录云安全平台后,点击【安全防护】-【域名管理】-【添加域名】,填写需要防护的根域名,选择cname方式点击添加。

根域名添加完成后会跳转到子域名配置页面,点击添加子域名>>选择接入类型>>填写主机名、服务器IP或别名>>选择云端模式>>点击添加。

记录类型说明:

A记录:云防护节点取源到服务器或负载均衡IP地址:

CNAME记录:云防护节点取源到别名值(如:aws别名等);

AAAA记录:云防护节点取源到源服务器IPV6地址。

线路类型说明:

云端模式时默认为轮询(加权轮询)+健康检查调整机制;回源模式可根据选择线路类型智能分配;详细说明可参考http://help.yunaq.com/faq/296/index.html

运行模式说明:

云端模式为请求经过防护或者加速;回源模式为我方仅做dns解析,实际请求不经过云防护节点。

2.2.2 生成cname值

子域名添加完成后系统自动生成cname值:

2.2.3 套餐开通

在交流群中反馈商务提交流程开通套餐。

2.2.4 特殊配置

如网站中有特殊配置,需提前设置

2.2.4.1 非80/443端口

若站点有使用 80/443 以外的特殊端口,需要在我方【域名管理】>>【子域名配置】>>【控制面板】>>【端口配置】中进行配置添加,正常对外端口和源站端口填写相同即可,若有端口转发需求回源端口和源站端口可填写不同,https特殊端口需交流群中联系知道创宇技术人员处理。

2.2.4.2  SSL证书

若网站有 SSL 证书,则需要在【域名管理】>>【ssl证书】上传 SSL 证书,仅支持包含公钥、私钥的*.pem格式证书文件上传,一个根域名最多只能上传10条ssl证书,证书上传后10分钟左右生效。

若没有.pem格式证书,可使用我方提供的小工具进行合成上传,工具链接地址:https://www.yunaq.com/tools/certificate_composing/ 。

2.2.4.3 源站防护策略

源站若有网络层/应用层的访问控制,限速等策略,需要关闭限制或者将我方集群IP加白,知道创宇云安全服务节点 IP 地址可在【域名管理】>>【子域名配置】>>【控制面板】>>【查看节点IP】中获取。

2.2.4.4 其他特殊配置
  • 若源站存在一台服务器部署多个证书的情况,为保障云安全节点和源站握手成功,建议提前开启取源SNI功能(此功能仅部分套餐支持,如没有此功能请核对套餐版本),在【控制面板】-【HTTPS设置】-【取源SNI设置】可开启。
  • 若网站有第三方回调 API,或者是程序调用的 URL,请提供以便我们这边提前加白观察避免误拦;
  • 若源站有接入防护域名互调的情况,需要在源服务器上将调用的域名通过 /etc/hosts 绑定到源站IP,避免从云端二次代理出现问题;形如 m.example.com 的 vhost 配置为: proxy_pass http://www.example.com/m/, 而 www.example.com 已经接入我方,也请在服务器端,将www域名通过 /etc/hosts 绑定到源站 IP ,具体请参考 http://help.yunaq.com/faq/622/index.html
  • 若源站日志需要获取用户真实 IP,请参考 http://help.yunaq.com/faq/67/index.html ,程序内获取用户真实IP可参考 http://help.yunaq.com/faq/673/index.html;
2.2.5 线下测试
  • 目的:测试网站经过云防护节点后的可用性,提前发现架构冲突等异常情况,保障接入防护后网站的业务可正常运行;
  • 获取云防护IP方法,ping前台生成的cname值,出现的IP浏览器中访问若出现400页面,说明为我方防护节点,可以绑定测试;
  • 对网站进行本地线下测试,通过更改本地计算机的HOSTS文件的方式来进行测试,可测试登陆浏览等功能,把对网站的影响降到最低;(注:Windows系统hosts路径为C:\Windows\System32\drivers\etc,linux系统hosts路径为/etc/hosts)
  • 通过第三方工具,如17ce.com,boce.com等测试网站使用云安全平台前后的速度对比,及全国的访问情况;
2.2.6 正式接入

线下测试没有问题即可修改DNS接入云防护进入线上测试阶段。

配置请参考:

阿里云(万网)修改DNS解析指向到云安全别名地址

Godaddy修改DNS解析指向到云安全别名地址

在DNSPOD注册的域名如何修改成云安全别名地址

西部数码修改DNS解析指向到云安全别名地址

新网(xinnet)修改DNS解析指向到云安全别名地址

时代互联修改DNS解析指向到云安全别名地址

易名中国修改DNS解析指向到云安全别名地址

 

2.3 NS方式接入操作(如选择了cname接入,此章节可忽略,直接进入3章节继续操作)

2.3.1 添加域名

登录云安全平台后,点击【安全防护】-【域名管理】-【添加域名】,填写需要防护的根域名,选择NS方式点击添加。

主域名添加完成后会跳转到子域名配置页面,点击添加子域名>>选择接入类型>>填写主机名、服务器IP或别名>>选择云端模式,点击添加。

注意:NS方式需要将所有子域名的解析均添加到云安全平台,需要防护或加速的域名选择云端模式,不需要防护或加速的域名选择回源模式,如:邮件系统等。

2.3.2 套餐开通

在交流群中反馈商务提交流程开通套餐。

2.3.3 特殊配置

如网站中有特殊配置,需提前设置

2.3.3.1 非80/443端口

若站点有使用 80/443 以外的特殊端口,需要在我方【域名管理】>>【子域名配置】>>【控制面板】>>【端口配置】中进行配置添加,正常对外端口和源站端口填写相同即可,若有端口转发需求回源端口和源站端口可填写不同,https特殊端口需交流群中联系知道创宇技术人员处理。

2.3.3.2  SSL证书

若网站有 SSL 证书,则需要在【域名管理】>>【ssl证书】上传 SSL 证书,仅支持包含公钥、私钥的*.pem格式证书文件上传,一个根域名最多只能上传10条ssl证书,证书上传后10分钟左右生效。

若没有.pem格式证书,可使用我方提供的小工具进行合成上传,工具链接地址:https://www.yunaq.com/tools/certificate_composing/ 。

2.3.3.3 源站防护策略

源站若有网络层/应用层的访问控制,限速等策略,需要关闭限制或者将我方集群IP加白,知道创宇云安全服务节点 IP 地址可在【域名管理】>>【子域名配置】>>【控制面板】>>【查看节点IP】中获取。

2.3.3.4 其他特殊配置
  • 若源站存在一台服务器部署多个证书的情况,为保障云安全节点和源站握手成功,建议提前开启取源SNI功能(此功能仅部分套餐支持,如没有此功能请核对套餐版本),在【控制面板】-【HTTPS设置】-【取源SNI设置】可开启。
  • 若网站有第三方回调 API,或者是程序调用的 URL,请提供以便我们这边提前加白观察避免误拦;
  • 若源站有接入防护域名互调的情况,需要在源服务器上将调用的域名通过 /etc/hosts 绑定到源站IP,避免从云端二次代理出现问题;形如 m.example.com 的 vhost 配置为: proxy_pass http://www.example.com/m/, 而 www.example.com 已经接入我方,也请在服务器端,将www域名通过 /etc/hosts 绑定到源站 IP ,具体请参考 http://help.yunaq.com/faq/622/index.html
  • 若源站日志需要获取用户真实 IP,请参考 http://help.yunaq.com/faq/67/index.html ,程序内获取用户真实IP可参考 http://help.yunaq.com/faq/673/index.html;
2.3.4 线下测试
  • 目的:测试网站经过我方节点后的可用性,保障接入防护后网站的业务可正常运行;
  • 获取云防护IP方法:交流群中知道创宇技术支持人员提供;
  • 对用户的网站进行本地线下测试,通过更改本地计算机的HOST文件的方式来进行测试,可测试登陆浏览等功能,把对网站的影响降到最低;(注:Windows系统hosts路径为C:\Windows\System32\drivers\etc,linux系统hosts路径为/etc/hosts)
  • 通过第三方工具,如17ce.com,boce.com等测试网站使用云安全平台前后的速度对比,及全国的访问情况;
2.3.5 正式接入

线下测试没问题即可修改dns正式接入

配置可参考:

在阿里云(万网)注册的域名如何修改成云安全NS地址

在新网(xinnet)注册的域名如何修改成云安全NS地址

在Godaddy注册的域名如何修改成云安全NS地址

在易名中国注册的域名如何修改成云安全NS地址

在西部数码注册的域名如何修改成云安全NS地址

在腾讯云注册的域名如何修改成云安全NS地址

3.监测dns生效情况

接入完成后可以使用ping命令监测dns本地生效情况,当ping出来云安全的别名及IP地址时,dns配置已在本地生效。也可使用17测等多点测试工具(www.17ce.com)监测全国生效情况,如检测出的所有IP均为云安全IP,则基本已在全国范围生效,已经正常接入云防护。

4.观察调优

接入完成后可在【域名管理】>>【报表】中查看加速/防护报表,并可使用第三方测试工具、监控工具等持续观察接入防护后的情况,若有异常可随时群里反馈工程师配合处理。

5.注意事项

  1. 为了避免网络问题或者配置问题在接入云安全后可能会发生访问异常的情况,在正式上线前要经过完整的测试,首先需要通过充分的线下测试、之后再通过线上测试。而且在接入过程中需遵从先小后大、先易后难的原则。即先接入访问量比较小、重要性低、功能简单的域名,然后再依次接入访问量大、重要性高、功能多的域名。
  2. 如果上线过程中发生异常且影响范围较大,可以将异常截图、IP和tracert结果截图发送创宇工程师后前台修改为回源模式,回源模式即暂时关闭加速和安全防护功能,从而能迅速恢复因接入平台后造成的访问异常情况。
  3. 有防护需求的站点若条件允许的情况下,建议接入我方后更换源站IP,避免由于之前IP暴漏过,黑客直接攻击源站服务器IP的情况,若不方便更换IP,建议尽量设置访问控制,仅允许我方节点访问,最大程度保障源服务器的安全。获取云防护节点方法可参考(http://help.yunaq.com/faq/187/index.html)
  4. NS方式接入后原dns解析商处的记录建议至少72小时之后再删除,NS方式生效慢,在没有完全生效的情况下删除原dns记录会造成部分区域找不到解析。