业务系统接入云防御平台前,请核对以下接入注意事项,如果存在以下情况,需要先完成以下配置后再修改DNS域名解析完成接入。
1、SSL证书
如果业务系统域名存在https加密通信,需要在云防御平台中上传对应https证书(公钥/私钥),以确保云防御平台能够与访客以及源站Web服务器进行加密通信,证书上传方式请参考 http://help.yunaq.com/faq/607/index.html;
2、非80/443特殊端口
知道创宇云防御默认仅开放80、443端口,如果业务系统有使用 80/443 以外的特殊端口(如8080端口),需要在云防御平台中配置开启相应端口来保障请求正常接收和转发。添加端口转发的配置,具体请参考 http://help.yunaq.com/faq/61/index.html ;
3、源站策略拦截
知道创宇云防御节点过滤并转发正常请求到源站,使用有限的云节点IP转发无限的客户端请求会导致云节点取源时请求频率较高,此时源站防护设备看到云节点IP短时间发送大量的请求,极易被防护设备拦截或限速。为了业务系统的连续性,请务必关闭限制策略或者将我方集群 IP 加白,知道创宇云防御服务节点 IP 地址获取方式请参考 http://help.yunaq.com/faq/2201/index.html;
4、获取真实客户端IP地址
当云节点转发用户请求时,会在网络层统一更换为云节点IP传输到源站,即经过转发后,源站服务器是和云防御节点进行连接传输,默认获取到的IP是云防御节点IP。若源站服务器需要获取访客真实 IP,请参考 http://help.yunaq.com/faq/67/index.html ,程序内获取可参考 http://help.yunaq.com/faq/673/index.html ;
5、桌面客户端、APP/API调用业务
桌面客户端、APP/API回调请求有请求路径固定、请求频繁等特征,与正常浏览用户访问行为差异较大,极容易触发知道创宇云防御策略被拦截。若业务系统中有此类特殊请求业务,请提供知道创宇技术人员核实,以便提前加白观察避免误拦截;
6、双重反向代理互调
知道创宇云防御是基于反向代理运行的,若域名接入的有其他的反向代理配置,且反向代理到已经接入云防御的域名,将会出现请求回环错误(报错信息: cdn resue)。
示例:假设“www.example.com”与“m.example.com” 均接入了云防御平台,站点”www.example.com”配置了反向代理到“m.example.com”,如出现下述配置,便会造成云防御节点出现回环情况。
#www.example.com 源站nginx配置示例
location / {
proxy_pass http://m.example.com;
proxy_redirect default ;
}
如果出现上述情况,需要将上述配置中的域名改为对应的源站IP地址,具体请参考 http://help.yunaq.com/faq/622/index.html ;
7、源站IP暴露解决方案(重要)
接入云防御平台后会隐藏源站IP地址,源站IP很大可能在接入前便已经暴露,攻击者有可能通过相关渠道探测到源站IP,从而绕过云防御平台直接攻击源站服务器,建议接入云防御后尽快更换源站IP地址,并在源站防护设备配置限源策略或在应用服务器上添加访问控制列表(ACL),相关限源配置可参考http://help.yunaq.com/faq/640/index.html。