高防cdn使用方法 按需开通清洗策略、带宽保底与黑洞防护的配置说明

1.

准备与前提检查

在购买或试用高防CDN前，确认域名已完成备案、DNS可被管理；准备好源站IP/端口、协议（HTTP/HTTPS/UDP/TCP）信息；开通客服或技术支持通道以便紧急开通保底带宽或黑洞策略。

2.

创建高防CDN服务实例

登录服务商控制台 -> 安全/高防CDN -> 新建服务；填写加速域名、源站类型与回源地址；选择按需清洗（On-Demand）或自动清洗模板，保存并下发DNS或CNAME指向提供方节点。

3.

按需开通清洗策略（控制台操作）

进入已创建的服务 -> 防护配置 -> 清洗策略 -> 新建策略；选择攻击类型（SYN/UDP/HTTP FLOOD/CC），设置触发阈值（示例：HTTP请求速率>2000req/s或单IP>200req/s触发），选择清洗动作（全部流量清洗、按IP黑名单、行为验证），保存并启用。

4.

按需开通清洗（手动触发）

当遭遇异常流量时，控制台->防护操作->手动触发清洗，选择目标域名/节点、清洗策略模板、持续时间；确认后系统会在数秒到数十秒内下发黑名单或重定向流量到清洗集群。

5.

带宽保底配置与合同确认

带宽保底通常在购买时协商或在控制台购买保底包：进入计费/带宽保底->选择保底带宽量（例如 50/100/500 Mbps）->付款并签署SLA；如需临时提升，联系销售或工单请求紧急扩容并确认计费方式。

6.

控制台监控与阈值调整

在防护面板查看实时流量、清洗流量、命中规则；根据实时曲线调整清洗触发阈值和单IP限速（建议从宽松到严格逐步收紧，避免误杀）；开启告警（PS：阈值示例：TCP连接数>10000，SYN包率>5000pps触发告警）。

7.

黑洞防护与安全策略设置

黑洞（null-route）仅在极端情况下使用：控制台->网络防护->黑洞设置，配置黑洞触发阈值（如整体带宽>上游链路承载95%且清洗无效果），指定黑洞对象（源站IP或攻击目标IP段），并设置自动恢复时间与人工确认流程，避免误封正常流量。

8.

回源与SSL/WAF联动

确认回源策略（直回源/回源到负载均衡），配置回源健康检查；配置SSL证书（自带证书或托管证书）以保证HTTPS清洗；与WAF规则联动，针对Layer7攻击建立速率限制、验证码、JS挑战等规则。

9.

测试与演练步骤

上线前用压测工具（如 wrk/ab/hey 或流量生成器）在非高峰时段做分阶段压测：先模拟正常峰值，再逐步上升到阈值触发，验证清洗触发、带宽切换与黑洞机制是否按预期执行；记录时延及命中率。

10.

日志、溯源与排查流程

开启访问日志与防护日志，导出异常时间段的流量样本；日志字段需包含源IP、目标IP、URI、User-Agent、被触发策略；用于溯源、提交厂商样本或做白名单规则调整。

11.

日常运维建议

建立值班与应急SOP：含告警阈值、联系人、黑洞审批流程、带宽临时扩容流程；定期复核清洗策略与白名单，避免长期积累误判。

12.

常见问题：如何按需开通清洗？（问）

13.

答

在控制台找到对应服务 -> 防护配置 -> 清洗策略 -> 选择或新建模板并设置触发阈值，保存后在防护操作中可手动触发；紧急时通过工单或电话让技术替你在几分钟内下发清洗。

14.

常见问题：如何配置带宽保底并临时提升？（问）

15.

答

在计费或带宽保底模块购买保底包并签SLA；若需临时提升，提交工单或联系销售请求“临时扩容/紧急保底”，确认计费与生效时间后由运维下发配置。

16.

常见问题：如何避免误触发黑洞导致服务中断？（问）

17.

答

设定保守的黑洞触发阈值、启用人工审批、设置自动恢复时间并先采用分层清洗策略（分IP限速、验证码、行为验证），仅在多层清洗失败且链路濒临崩溃时才启用黑洞。