接入使用
在此之前,请确保了解了:
注册账户,不再重复
以普通用户身份登录后台,点击左侧菜单“网站管理”-》“我的网站”进去网站列表,点击工具栏上的“新增”按钮,弹出添加网站窗口。
- 所属分组 - 可以为空,可以选择一个或多个分组
- 套餐 - 选择已购买的套餐
- 域名 - 多个域名已空格分隔
- 源地址 - 可以为IP,也可以是域名
- 源端口 - 默认为80
批量添加网站
点击左侧菜单“网站管理”-》“我的网站”进去网站列表,点击工具栏上的“新增”按钮,弹出添加网站窗口,在数量栏切换到批量。
- 所属分组 - 可以为空,可以选择一个或多个分组
- 套餐 - 选择已购买的套餐
- 数据 - 格式1:域名|源|源端口,格式2:域名|源,其中格式2的源端口为80,源可以为IP或域名,一行一个网站
网站编辑
HTTP设置
- 监听端口 - 默认80,也可以监听非80的,如8080,多个端口以空格分隔
HTTPS设置
- 证书 - 选择使用的证书,可以在左侧菜单手动添加证书,也可以在网站列表,选中此网站一键申请
- 监听端口 - 默认443,可以监听其它端口,如8443,多个端口以空格分隔
- 强制HTTPS - 可定义跳转的端口,默认为监听端口的第一个
- 回源SSL协议 - 回源使用的ssl协议,可选值有SSLv2, SSLv3, TLSv1, TLSv1.1, TLSv1.2, TLSv1.3
源站设置
- 回源协议 - 可选http,https,跟随协议,跟随协议就是访问http的,回源http,访问https,回源https(当访问站点说重定向过多等情况,说明程序需要https,源开启SSL然后回源模式改成https就行)
- HTTP回源端口 - 回源协议为http时,回源使用的端口
- HTTPS回源端口 - 回源协议为https时,回源使用的端口
- 负载方式 - ip hash: 同一个IP,始终分配请求到同一台后端服务器, 轮询:按顺序一台台分配请求 url hash:同一个url始终分配到同一台后端服务器 最少连接数:根据Nginx与后端服务器的连接数,选择最少连接的连接 随机:随机分配连接到后端。
- 源地址 - 可以是IP或域名,不过仅支持一个域名,且不能与IP混合使用。
- 权重 - 数字越大,权重越大
- 状态 - 可选上线,下线,备用
- 健康检查 - 对于设置有多台源服务器的情况,可以用来定时检查设置的后端服务器,自动下线或上线后端服务器 协议:目前只支持http协议的检查,所以回源协议只能是http 域名:检查后端服务器时,使用的域名 路径: 默认为/根目录,可以根据具体情况修改 有效状态码:这里指定后端返回的状态码在此列表的话,认为后端服务器正常,否则认为失败,比如后端返回404的话,就认为后端不正常了。
- 回源端口映射 - 回源端口跟随访问的端口,如监听了http的81 82端口和监听http2的91 92,访问http://www.abc.com:81/,回源端口为81,回源协议为http;访问http://www.abc.com:82/,回源端口为82,回源协议为http。访问https://www.abc.com:91/,回源端口为91,回源协议为https;访问https://www.abc.com:92/,回源端口为92,回源协议为https。
安全配置
CC防护
- 默认防护 - 没有开启规则切换且未触发规则切换时的防cc规则,目前内置的规则有:
- 无感验证 [ 宽松 ] :达到阈值之后,再进行无感验证,进行客户端验证
- 无感验证 [ 防御 ] :直接进行无感验证,一般情况下可以设置为自动切换
- 滑动验证 [ 宽松 ]:达到阈值之后,再进行滑动验证,一个滑块页面进行验证
- 滑动验证 [ 防御 ]:直接进行无感验证,一般情况下可以设置为自动切换
- 五秒验证 [ 宽松 ]:达到阈值之后,再进行五秒验证,出现一个五秒倒计时页面
- 五秒验证 [ 防御 ]:直接进行无感验证,一般情况下可以设置为自动切换
- 旋转验证 [ 宽松 ]:达到阈值之后,再进行图片验证,出现选择图片进行验证
- 旋转验证 [ 防御 ]:直接进行无感验证,一般情况下可以设置为自动切换
- 宽松 [ 5-300-50 ]:达到阈值之后,拦截请求
- 关闭 :顾名思义,字面意思,可默认开启,然后配置自动切换
- 自定义规则 - 当默认规则开启了如滑动验证等规则时,如果直接调用API,会触发这些防cc规则,导致访问API失败。这时候可以添加例外,放行这些API
自定义规则分为两部分,一部分是匹配条件,一部分是执行过滤。 匹配条件分为匹配项、操作符和匹配值。 1) 支持的匹配项有:IP地址(客户端IP)、域名(访问的域名)、请求URI(如/index.php?page=1),请求URI(不带参数)(会删除参数再匹配,如原始的URI为/index.php?page=1,会删除参数变为/index.php再与匹配值匹配)、请求方法(如GET,POST等)、浏览器UA(如Chrome/111.0.0.0 Safari/537.36)、请求来源、国家代码(即代表某个国家IP的两位字母,如CN代表中国境内IP,HK代表香港IP,见https://www.iban.com/country-codes 2) 支持的操作符有:等于(即与匹配值完全匹配条件才成立)、不等于、包含(要匹配的值包含有匹配值条件就成立,如请求URI为/index.php,匹配值为php的话,条件成立)、不包含、前缀匹配(即从前面开始匹配,如请求URI为/api/index,当匹配值为/api时,条件成立,值为index时,条件不成立)、后缀匹配(即从尾部开始匹配,如请求URI为/api/index,当匹配值为index时,条件成立,匹配值为/api时,条件不成立)、正则匹配(如^/[0-9]+,即匹配以/开头,后面接数字的URI)
- 匹配值,支持多个,一行一个 执行过滤,当条件成立时,执行过滤中选择的动作,如放行,拉黑、5秒盾等
屏蔽设置
- 屏蔽透明代理 - 一般指的是网址公开免费的HTTP普通代理
- 屏蔽区域 - 可选择境外和境内屏蔽,可决定是否包括港澳台
黑白名单
- 爬虫白名单 - 像百度,谷歌之类的爬虫,我们可能需要当开启防cc模式时,不影响它们继续索引网站,可以开启这个功能。
- 黑名单 - 支持单个IP以及掩码为8,16,24的IP段
- 白名单 - 支持单个IP以及掩码为8,16,24的IP段
访问控制
- ACL规则 - 用来限制特定的客户端访问,比如根据IP,用户代理对用户进行限制访问。acl规则需要预先创建好才能在这里使用。
- 防盗链 - 在允许的域名输入域名后,只允许这些域名引用此网站的资源,或者可以允许空来源。
回源配置
- 回源域名 - 默认为访问的域名,即客户通过www.abc.cn访问网站,[回源也使用www.abc.cn],也可以自定义成其它的域名
- Range回源 - CDN在缓存资源时,为提高存储效率会将文件进行切片存储,并且支持 Range 请求,若请求时携带 HTTP 头部Range: bytes = 0-999,则返回文件的前1000个字节给用户。 开启 Range 回源配置,若用户请求的部分文件已过期,CDN 会根据用户请求进行分片回源,仅拉取用户需要的部分文件进行缓存,同时返回给用户;关闭 Range 回源配置,即便用户请求的是部分文件,CDN 在回源时仍会拉取整个文件,而后进行缓存,并响应给用户其要求的部分文件。 开启 Range 回源配置能够有效提高大文件分发效率,提升响应速度,降低源站压力。
高级配置
压缩设置
可开启或关闭gzip压缩,并定义需要压缩的文件类型
Websocket配置
开启后,nginx就可以代理websocket的请求了
错误页面配置
支持自定义404和50x页面
源站请求头
即在回源时,附加一个请求头回源。系统默认传X-Real-IP请求头,值为客户端的IP给源服务器。也可以设置其它的请求头,附加客户IP,如
CDN响应头
返回内容给客户端时,增加一个响应头
URL转向
此URL转向功能使用的是Nginx的rewrite模块,更详情的说明参考http://nginx.org/en/docs/http/ngx_http_rewrite_module.html#rewrite
- 域名端口 - 匹配指定的域名和端口转向。 输入.*时,匹配所有的域名和端口; 输入www.abc.cn时,匹配这个域名(不限端口); 输入www.abc.cn:8080时,只转向当域名为www.abc.cn且端口为8080的情况; 也支持多个域名,用|分隔,[如www.abc.cn|abc.cn],匹配这两个域名(不限端口)。
- 匹配 - 匹配的URL
- 转向到 - 跳转到的URL
以下为www.qq.com转到www.baidu.com的示例
自动转向到移动端域名
如当手机浏览器访问www.abc.com时,[自动转向到m.abc.com] User-Agent里填iphone|android|phone|mobile|ucweb|opera\s+mini
缓存介绍
是使用Nginx proxy模块,更多的说明请参考http://nginx.org/en/docs/http/ngx_http_proxy_module.htm
- 类型 - 可选后缀名,目录,全路径 选择后缀名时,内容填写如css|js|png,不区分大小,表示缓存后缀为css,js,png的请求,如http://www.abd.cn/123.css 选择目录时,内容填写aa|bb|cc,表示缓存如http://abd.cn/aa/11.php,http://abd.cn/aa/22.jsp的请求 选择全路径时,内容填写/123.css,表示只缓存http://abd.cn/123.css的请求
- 有效期 - 输入数字,单位可选秒,时,天
- 忽略参数 - 启用时,忽略url的参数,如/123.css与/123.css?a=1,这两个请求只缓存一份,请求时/123.css,/123.css?a=2,/123.css?b=3都是认为已经缓存了,取与/123.css同样的缓存
- 强制缓存 - 当想要缓存动态内容时,或者发现设置了缓存但实际没有生效,可以开启这个
- 不缓存条件 - 设置某一特定的请求不缓存,比如缓存了整个网站除了客户端带指定cookie名为wordpress_logged_in的请求,那么可以变量输入$http_cookie,字符串输入wordpress_logged_in。
实例说明
缓存wordpress
有一个客户想缓存整个wordpress,除了已经登录的用户,那么可以这样设置。 
缓存整个目录,除了一些文件
以下示例是指,缓存整个/foo/目录,但是不缓存目录里面的1.html文件 
刷新缓存
可刷新具体的URL,也可刷新整个目录下的文件
预热URL
为了提高缓存命中率和首个用户的访问速度,可以在用户访问之前,先预热下资源
可独立的管理所有证书,可自己续期Let's encrypt的证书,查看所有证书的过期时间等。
上传自己的证书
如图,可以上传自己已经申请好的证书,之后绑定到网站上使用
申请Let's encrypt证书
- 如图可申请 www.abd.cn abd.cn的Let's encrypt免费证书,如果不指定DNS API,www.abd.cn和abd.cn需要预先解析到abd的节点。如果指定了DNS API就不需要,DNS API是abd.cn域名所在DNS提供商的API密钥。
- Let's encrypt支持申请通配符证书,不过只支持dns的验证方式,所以必须指定申请域名的DNS API,如图
- abd支持批量申请Let's encrypt证书,只需要一行输入一个或多个域名就行
- 当然,系统还提供了一键申请Let's encryp一个或多个网站的功能,进一步方面域名证书的申请
简单直白的申请就是,添加站点,然后解析CDN给的CNAME,解析完毕稍等一下,DNS刷新后再申请就行,如果签失败了禁用删除然后重新申请
防cc规则主要由三部分组成匹配器,过滤器,动作。
- 匹配器: 用来匹配用户的请求,可以匹配用户IP,Host,req_uri(带参数),uri(不带参数),user_agent和referer。一个匹配器可以有多个匹配项,添加多个匹配项时,此匹配器所有的匹配项都满足时,这个匹配器才为真。如果匹配了请求,就使用下面的过滤器来对请求进行验证。
- 过滤器: 用来对客户请求进行验证,比如统计请求数是否超限,是否输入对验证码,是否跳转到正确的URL等,如果验证次数超过指定次数,那么就执行下面指定的动作来拦截。
- 动作: 当请求无法通过过滤器时,执行相应的动作。
匹配器
匹配器由匹配项,操作符,匹配值组成。比如匹配项是IP,操作符是=,匹配值是192.168.0.1,表示客户端IP是192.168.0.1才算匹配。
匹配项
- IP地址 - 客户端IP地址
- 域名 - 客户请求的域名
- 请求URI - 请求的url,如/123.php?a=1,保留参数匹配。
- 请求URI(不带参数) - 去除参数的url,如原始/123.php?a=1,经处理变成/123.php再去匹配
- 请求方法 - 如GET, POST等
- 浏览器UA - 浏览器名称,如Mozilla/5.0 (Macintosh; Intel Mac OS X 10_14_6) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/83.0.4103.116 Safari/537.36
- 请求来源 - 如http://demo.abd.cn/console/index.html
- 国家代码 - 由于两位字母表示某个国家的IP地址,比如CN表示在中国网络下请求网站的客户,完整的国家代码列表https://www.iban.com/country-codes
操作符
- 等于 - 即与匹配值完全匹配条件才成立
- 不等于 - 参考等于
- 包含- 要匹配的值包含有匹配值条件就成立,如请求URI为/index.php,匹配值为php的话,条件成立
- 不包含 - 参考包含
- 前缀匹配 - 即从前面开始匹配,如请求URI为/api/index,当匹配值为/api时,条件成立,值为index时,条件不成立
- 后缀匹配 - 即从尾部开始匹配,如请求URI为/api/index,当匹配值为index时,条件成立,匹配值为/api时,条件不成立
- 正则匹配 - 如^/[0-9]+,即匹配以/开头,后面接数字的URI
过滤器
请求速率
限制客户在一定时间内的总请求次数。可以限制总的URL请求数,也可以限制同一个URL累积的请求数。
302跳转
当客户请求CDN节点时,CDN会302返回一个url,客户跟随访问这个URL才算验证通过,否则算失败。
浏览器识别
客户请求CDN节点时,CDN返回一段带跳转功能的js代码,客户跟随访问这个URL才算验证通过,否则算失败。
滑动验证
客户请求CDN节点时,CDN返回一个滑动条,客户需要拖动滑动条才算验证通过,否则算失败。
验证码
客户请求CDN节点时,CDN返回一个验证码,客户需要输入正确的验证码提交才算验证通过,否则算失败。
URL鉴权
url鉴权过滤器适用时API类防cc攻击。需要与客户端配合,cdn定义一个密钥,客户端md5如uri,时间戳,随机数,密钥,得出的值传给cdn验证,验证失败到一定次数将拉黑这个IP。URL鉴权提供两种鉴权方式,A和B。
- 方式A URL格式为http://DomainName/img/FileName?sign=md5hash&t=timestamp timestamp为当前时间戳,如1598342331(签名用的时间戳与参数t的时间戳需要一致),md5hash为md5(密钥uri时间戳),其中密钥为在cdn定义好的密钥,uri为不带参数的路径,且要转为小写再做md5,如/img/filename,时间戳为1598342331(精确到秒就行) 方式A的设置如下
n秒内,最大失败次数 - 即如果在60秒内,验证失败超过5次的话,拉黑IP 鉴权方式 - 这里选TypeA 密钥 - 与其它数据一起md5得到的hash,客户端同样使用这里定义的密钥来md5 签名参数名 - 默认为sign 时间戳参数名 - 默认t 最大时间相差(秒) - 允许上下相关多少秒,超过此范围签名认为无效 签名使用次数 - 带同一个签名的url允许访问的次数,0为不限制,越过限制则拉黑IP - 方式B URL格式为http://DomainName/img/Filename?sign=timestamp-rand-uid-md5hash timestamp为当前时间戳,如1598342331,rand为随机字符串(只需要取一次,之后都是用这个),uid用户id暂时不用,设置为0,md5hash为md5(uri-时间戳-随机字符串-uid-密钥),uri转为小写再md5,md5的计算包含连接符- 方式B设置如下:
方式B与方式A的设置不一样的方式在于,方式B不需要传时间戳的参数,因为已经包括在签名参数里了。 其中的设置与方式A一样。
点击验证
待开发
动作
ipset
使用iptables的ipset模块拦黑ip,拉黑IP后,此IP不再能够消耗资源,效果最好
exit
cdn自己主动断开连接,此IP还是能够与cdn建立连接来消耗资源
log
不拦黑,不断开,一直使用过滤器过滤
规则
规则由匹配器,过滤器,动作组成。 
这里需要说明的是可以指定一个或两个过滤器。 当指定一个过滤器时,当这个过滤器验证失败时,直接执行动作; 当指定两个过滤器时,即指定过滤器1和过滤器2,那么当过滤器1验证失败,这时还不会执行动作,而是继续使用过滤器2验证,只有当两个过滤器都验证失败时,才执行动作。这样可以有效减少误封,比如过滤器1使用请求频率,过滤器2使用滑动验证,这样可以防止误封请求量比较大的客户。
规则组
一个或多个规则组成一个。网站就是绑定的规则组。
ACL是对客户访问控制的规则,当客户请求匹配规则时,会返回403。ACL与cc规则类似,只是ACL没有过滤器,而是直接匹配后执行相应的行为,允许或拒绝。也可以说WAF防火墙吧
ACL规则组
- 默认行为 - 可选允许或拒绝,当所有规则没有匹配时,执行默认行为。
- 规则列表 - 按顺序一条条匹配,直到匹配才中止,没有匹配就执行默认行为
ACL规则
ACL规则的匹配项和操作符跟CC规则的基本一样,具体说明请参考CC规则 规则支持设置多个匹配项,当设置多个匹配项时,只有所有匹配项匹配成功,这个规则才算匹配。