中国移动云市场DDOS云防护操作手册

1、zj'oszoz&带 soaasieikl信龄圃&1. 修订目录错误!未定义书签。2. 范围错误!未定义书签。3. 应用介绍错误!未定义书签。4. 相关术语与缩略语解释错误!未定义书签。5. 产品的主要功能概述错误!未定义书签。6. 功能使用说明错误!未定义书签。dns管理功能错误!未定义书签。6.1.1功能概述错误!未定义书签。6.1.2 dns节点wi里错误!未定义书签。6.1.2 dns解析鲁里错误!未定义书签。转发篁里功能错误!未定义书签。6.2.1功能概述错误!未定义书签。6.2.2转发集群功能错误!未定义书签。6.2.3转发节点管理错误!未定义书签。6.2.

2、4高防ip管理错误!未定义书签。监控1里功能错误!未定义书签。6.3.1功能概述错误!未定义书签。6.3.2监控管里错误!未定义书签。6.4 ddos云防护管理错误!未定义书签。6.4.1功能概述错误!未定义书签。6.4.2源站管里错误!未定义书签。6.4.3高防ip管理错误!未定义书签。6.4.4转发配置错误!未定义书签。6.4.5智能调度错误!未定义书签。6.4.6数据报表错误!未定义书签。7.应用常见问题错误!未定义书签。1.修订目录日期修订者版本号说明2020/9/42.02.0版本操作手册2 .范本文档是ddos云防护产品在中国移动公众服务云saas平台操作手册。3 .应用介绍ddo

3、s云防护产品是一款基于全球高防集群为基础,结合自主研发智能调度算法,互联网数据传输技术,实现全球全网分布式联动防御,有效抵御超大流量ddos、cc攻击，保证 业务的安全、快速、可持续交付。4 .相关术语与缩略语解释 dns:域名系统（英文：domain name system ,缩写：dns ）是互联网的一项服务。它作为将域名和ip地址相互映射的一个分布式数据库，能够使人更方便地访问互联网。dns使用tcp和udp端口 53。当前，对于每一级域名长度的限制是63个字符，域名总长度则不能超过253个字符。5 .产品的主要功能概述1）系统管理-dns管理功能修改原有的逻辑新增解析管理功能；2）转发

4、管理修改原有逻辑从引入集群概念，服务器新增dpdk技术；3）系统管理新增监控管理功能，可以添加elk, flow, zabbix监控；4）ddos云防护管理模块的业务管理修改成了，高防ip管理，域名管理，智能调度, 转发配置，四大模块6.功能使用说明dns管理功能6aa功能概述dns节点管理中新增了同步数据功能，解决了之前的新增dns服务器数据没有同步的问题；dns解析管理功能是本次新增的一个功能，并且升级了解析的算法。6.1.2 dns节点管理> 功能点描述：dns节点管理中主要有添加，修改，删除和同步数据组成。> 界面：，dnscfv操作说明1）添加dns节点，添加dns节点所

5、有的字段都是必填的»cinmraamomsx iww»oc. d*<5t<w am* wtttt=1mm can2）修改dns节点，修改dns节点所有的字段都是必填的智安云防4）同步数据> 注意事项:1）添加dns节点之前一定要先添加好dns节点ip和关联资产;2）新增的dns服务器需要点击同步数据;6.1.2 dns解析管理> 功能点描述：解析管理主要有添加解析，修改解析，删除解析组成。> 界面：dnst!*nr®，dnscfvidm2m2max.ol嚣嚣嚣g嚣操作说明1)添加dns解析,添加dns解析的所有字段都是必填的系统mt2

6、)修改dns解析，修改dns解析的所有字段都是必填的3）删除dns解析> 注意事项1）省份配置中的全国和线路配置中的全网，在匹配省份和线路时匹配失败时，匹配全 国和全网这条记录转发管理功能6.2.1功能概述1）转发管理功能在原有的功能上进行了升级，引入了集群的概念2）转发管理中的集群类型为ivs, nginx, ivs+nginx三种类型3）转发管理中主要有转发节点管理和高防ip管理。6.2.2转发集群功能>功能点描述：为了更好的管理集群中转发节点和高防ip,由添加转发集群，转发节点 管理，高防ip管理，修改转发集群，删除转发集群组成。> 界面：操作说明：1）添加转发集群2）

7、修改转发集群3）删除转发集群> 注意事项：1）转发集群的命名不能重复，如果重复会提示“在错误信息请重新核对！ ” ；2）转发集权的修改不支持修改集群的类型，只能修改集群的数据中心和集群名称；3）删除集群时，如果集群里面还有转发节点或者高防ip,会提示”集群非空，不允许 删除”；6.2.3转发节点管理>功能点描述：转发节点就是转发服务器添加时，信息填写完之后一定要核对是否正确, 转发节点管理主要由添加转发节点，修改转发节点，数据同步和删除转发节点组成> 界面：a）点击转发节点管理按钮b）进入转发节点管理页面员, rttvwvexh42m1mf佥操作说明：1）添加转发节点2）修改

8、转发节点3）删除转发节点4）同步数据安云防系统> 注意事项：1）添加成功之后，等一到三秒钟刷新页面，如果通讯状态显示为正常说明添加成功， 异常则添加失败，需要检查服务器是否配置正确；2）如果管理节点是nginx类型时，该管理节点下有高防ip的话，需要先删除高防ip 才可以删除管理节点；3）添加转发节点之前需要先添加好转发节点ip和转发服务器；4）如果添加的转发节点为nginx类型时，因为现在nginx没有使用集群技术所以不用 点击同步数据按钮；5）添加转发节点时的本机ip就是lip,如果是单台dpvs机器时本机ip与管理ip选 择同一个ip6.2.4高防ip管理> 功能点描述：该功

9、能主要时用来管理高防ip,添加编辑删除高防ip。>界面：a）点击高防ip管理按钮三 员 b）进入高防ip管理页面操作说明：1）添加高防ip2）修改高防ip3）删除高防ip> 注意事项：1）nginx类型的集群，添加的高防ip需要和转发节点ip一周，否则会导致配置下发 之后配置不生效等错误；2）删除高防ip时如果该ip己经被购买了的话，会提示“该ip己经被购买，无法删 除”；监控管理功能sn63.1功能概述1）该功能主要时用来管理elk, flow, zabbix监控。632监控管理iii> 功能点描述：elk, flow, zabbix监控的添加修改和删除功能> 界面:

10、lummrtummm操作说明：1）添加监控2）修改监控*系统m4*3）删除监控> 注意事项：1）添加zabbix监控，登陆用户名和登陆密码必须正确有效填写，源站监控id和高防ip监控组id也必须正确有效填写；2）添加的监控类型为elk和flow时，登陆用户名和登陆密码都填写为admin；3）登陆端口填写的信息为服务启动的端口；6.4 ddos云防护管理6.4.1功能概述1） ddos云防护管理是由源站管理，高防ip管理，转发管理，智能调度，数据报表 组成的。6.4.2源站管理> 功能点描述：源站管理是由源站ip管理和域名管理两个功能组成，源站ip管理就是用 来管理客户的源站，域名管

11、理便是用来管理用户的域名>界面：曾安云防御系统1172) w1wuq1操作说明：1）添加源站2）源站加白§3）编辑源站4）删除源站5）添加域名6）域名加白 bmw7）域名修改8）删除域名注意事项：1）新增的源站和域名，在企业微信的审批助手中收到加白提示，新增的源站和域名都需要进行加白操作。64.3高防ip管理 功能点描述：高防ip的购买，续费，升级，册j除功能。界面:110-110no-nom2*操作说明：1）购买高防ip2）续费高防ip3）升级高防ip4）删除高防ip注意事项：1）批量升级和续费高防ip时，一定要选择同一个用户的高防ip,如果选择不同用户 的高防ip,会导致生

12、成错误的订单；2）购买高防ip时尽量选择同一类型（lvs, lvs+nginx, nginx）的高防ip进行购买;6.4.4转发配置功能点描述：转发配置的添加修改和删除界面：操作说明：1）单个添加配置2）批量添加配置系统t«心5 aavv3）删除配置4）选择https协议可以强制https （就是80端口重定向到443）5） lvs+nginx集群如果要使用nginx服务需要点击转到七层集群6）在配置中添加高防ip7）在配置中删除高防ip8）修改配置端口9）修改配置源站注意事项：i） nginx类型的高防ip,配置转发规则协议类型选择http和https,业务域名不能为空，为空会出现

13、配置失败；2）源站ip和业务域名都需要在源站管理中提前添加；3）配置转发规则时，请不要使用不同类型（ivs, ivs+nginx, nginx）的高防ip配置转 发规则；4）如果出现配置失败，请检查服务器是否出现错误，修复之后点击源站配置的修改按 钮，点击保存之后配置会重新下发；6.4.5智能调度 功能点描述：智能调度是由添加，修改域名解析，解析设置，变更日志，删除组成 界面:操作说明：1）添加域名解析2）修改域名解析8fwkasbeu? sfsf sf 3 9* sfff sf? f si3fff sfff*5）查看变更日志佥q 心佥> 注意事项：1）开启了自动切换功能之后，如果该域名

14、解析只配置了一个高防ip,会导致该域名 没有解析ip,所以高防ip故障了一定要及时处理；2）强制回源功能会导致源站有暴露的风险，谨慎使用。6,4.6数据报表> 功能点描述：数据报表由通断监控，流量监控，连接监控组成> 界面：安云防系统>操作说明：1）通断监控显示g，mtm，it 257*azkai20w41n1m，xlmtmir 12nuv1tvwim三 b mew*1w1 'mj im 24» 130 ims a 1o5« h»，g 11jm hot 11:2 h u 11 14 11:17 ii it 1122 h24 1127，5

15、hj1 11：m，*2）流量监控显示a»xn &*2in35rip yp 心该 90h f-tunn mou2ulxno-3）连接监控显示mm2001 w11冲。1 10it mm2031 10 itmtmi-10 ifwl41 1011r21，011rfol，。itr31 1。iir3m。itw im qwr 1mq5 150，2硕 1m14t 110 it14114114m4hi1un ioo«1。> 注意事项：1）如果通断监控没有数据，请检查zabbix是否正常工作；2）如果流量监控没有数据，请检查流量系统是否正常工作;3)如果连接监控没有数据,请检查e

16、lk是否正常工作;7 .应用常见问题1）新增加业务域名或业务ip,需联系我方在防御集群上进行加白后方可正常访问，否则 会存在用户无法访问的情况2）客户新增加业务域名或业务ip ,需联系我们加白，加白后,返回转发ip给客户在源站 进行加白，否则会存在用户无法访问的情况3）网络攻击量会存在不可预估的情况,当产生突发超大流量攻击,超过购买的最大防御值 时，系统会自动停止高防ip业务，会导致防御节点不可用4）攻击者在使用cc攻击未得逞的情况下，会使用ddos流量攻击，可能会出现比以往更 大量级的ddos攻击5）建议在服务在正式对外提供服务前，开始测试之际接入防护，避免被攻击者发现，从而影响业务。如：游戏登录服、游戏运行服、下载服、更新服、商务平台、支付端口等6）非产品标准服务范围外的服务收费标准和交付标准在项目立项时根据实际情况进行制定7）在攻击量小于或等于客户所购买的防御值情况下，可完全防护住ddos的攻击；cc攻击具有隐藏性，可变异的特点，且ddos云防护产品依赖cc防