[TOC] ## HTTP设置 ![](https://img.kancloud.cn/1a/2b/1a2be9ca91efb2cf958511c3bf953f86_1200x442.png) * 监听端口 - 默认80,也可以监听非80的,如8080,多个端口以空格分隔 * 回源协议 - 可选HTTP或HTTPS * 回源端口 - 默认80 ## HTTPS设置 * 证书 - 选择使用的证书,可以在左侧菜单手动添加证书,也可以在网站列表,选中此网站一键申请 * 监听端口 - 默认443,可以监听其它端口,如8443,多个端口以空格分隔 * 回源SSL协议 - 回源使用的ssl协议,可选值有SSLv2, SSLv3, TLSv1, TLSv1.1, TLSv1.2, TLSv1.3 ## 源站设置 ![](https://img.kancloud.cn/d0/af/d0af2a7c1758d24a54a2e860d179b53c_3244x538.png) * 回源协议 - 可选http,https,跟随协议,跟随协议就是访问http的,回源http,访问https,回源https * HTTP回源端口 - 回源协议为http时,回源使用的端口 * HTTPS回源端口 - 回源协议为https时,回源使用的端口 * 负载方式 -**ip hash**: 同一个IP,始终分配请求到同一台后端服务器, **轮询**:按顺序一台台分配请求 **url hash**:同一个url始终分配到同一台后端服务器 **最少连接数**:根据Nginx与后端服务器的连接数,选择最少连接的连接 **随机**:随机分配连接到后端。 * 源地址 - 可以是IP或域名,不过仅支持一个域名,且不能与IP混合使用。 * 权重 - 数字越大,权重越大 * 状态 - 可选上线,下线,备用 * 健康检查 - 对于设置有多台源服务器的情况,可以用来定时检查设置的后端服务器,自动下线或上线后端服务器 **协议**:目前只支持http协议的检查,所以回源协议只能是http **域名**:检查后端服务器时,使用的域名 **路径**: 默认为/根目录,可以根据具体情况修改 **有效状态码**:这里指定后端返回的状态码在此列表的话,认为后端服务器正常,否则认为失败,比如后端返回404的话,就认为后端不正常了。 * 回源端口映射 - 回源端口跟随访问的端口,如监听了http的81 82端口和监听http2的91 92,访问http://www.abc.com:81/,回源端口为81,回源协议为http;访问http://www.abc.com:82/,回源端口为82,回源协议为http。访问https://www.abc.com:91/,回源端口为91,回源协议为https;访问https://www.abc.com:92/,回源端口为92,回源协议为https。 ## 协议转向 ![](https://img.kancloud.cn/9f/7f/9f7f5593cc969fb5611d9792edfa538f_1172x366.png)设置转向协议为HTTP时,那么客户访问HTTPS的URL时,会转向到HTTP的URL。设置为HTTPS时,客户访问HTTP的请求,会转向到HTTPS的URL。转向的端口也可以设置非80和443的端口。 ## 安全配置 ![](http://cdn-doc.886vps.com/images/screenshot_1601124324322.png) ### CC规则 * 默认规则 - 没有开启规则切换且未触发规则切换时的防cc规则,目前内置的规则有宽松模式,请求频率,302跳转,验证码,滑动验证,浏览器识别。 **宽松模式**适用几乎所有场景,不过对于受到大量cc攻击的时候防御效果差。 **请求频率**即统计客户对URL的请求量,默认是限制客户在10秒内总请求不能超过50个,同一个URL不能超过20个。 **302跳转**即在给客户返回真实内容之前,先302跳转到一个URL验证,验证通过(客户跟随URL),才给返回真实内容,这种防御是假设CC攻击软件不识别302的情况才有效果。 **验证码**,是一种最严格的防御手动,防御效果最强,不过对用户体验影响大 **滑动验证**通过拖动滑动条来验证,防御效果也可以,用户体验影响比验证码损失小 **浏览器识别**同样需要跳转验证,不过是需要浏览器执行js代码才能得到跳转的URL,不需要人工介入。防御效果很好,推荐网站被攻击时首选使用。 * 规则切换 - 可以根据网站的QPS来动态切换或恢复规则。适用于当网站没有被攻击时,使用对用户影响较低的规则,比如宽松模式,然后当QPS突然增大到一定值时,可以认为可能被cc攻击了,然后切换到防御更强的规则,比如滑动验证。这样可以较好的平衡用户体验与网站安全这两方面。 * API接口防御 - 当默认规则开启了如浏览器识别,滑动验证,验证码等规则时,如果直接调用API,会触发这些防cc规则,导致访问API失败。这时候可以添加例外,设置这些API只采用请求频率来防CC。 ![](https://img.kancloud.cn/fe/52/fe5226a53b2ecd930333b7bee5b7c1ac_994x692.png) \*\* URI \*\* API路径的一部分或全部,多个路径以逗号分隔,如/api/,则表示路径中包含/api/的就匹配 \*\* 单位时间(秒) \*\* 在这个时间统计请求数,如10,表示统计10秒内的请求数 \*\* 最大请求数 \*\* 在上面的时间统计达到这里设置的最大请求数,拉黑访问的IP ### 屏蔽设置 * 屏蔽透明代理 - 一般指的是网址公开免费的HTTP普通代理 * 屏蔽区域 - 可选择境外和境内屏蔽,可决定是否包括港澳台 ### 黑白名单 * 爬虫白名单 - 像百度,谷歌之类的爬虫,我们可能需要当开启防cc模式时,不影响它们继续索引网站,可以开启这个功能。 * 黑名单 - 支持单个IP以及掩码为8,16,24的IP段 * 白名单 - 支持单个IP以及掩码为8,16,24的IP段 ## 访问控制 ![](https://img.kancloud.cn/e7/bc/e7bcb0f2b5c483910df182a092cdcc2f_1502x512.png) * ACL规则 - 用来限制特定的客户端访问,比如根据IP,用户代理对用户进行限制访问。acl规则需要预先创建好才能在这里使用。 * 防盗链 - 在允许的域名输入域名后,只允许这些域名引用此网站的资源,或者可以允许空来源。 ## 回源配置 ![](https://img.kancloud.cn/3b/72/3b722c75c0f3162198b6edd3e31577de_1186x400.png) * 回源域名 - 默认为访问的域名,即客户通过www.baidu.com访问网站,[回源也使用www.baidu.com](http://xn--www-kd9dm5cpyxhy5b59k.www.baidu.com/),也可以自定义成其它的域名 * Range回源 - 系统在缓存资源时,为提高存储效率会将文件进行切片存储,并且支持 Range 请求,若请求时携带 HTTP 头部Range: bytes = 0-999,则返回文件的前1000个字节给用户。开启 Range 回源配置,若用户请求的部分文件已过期,CDN 会根据用户请求进行分片回源,仅拉取用户需要的部分文件进行缓存,同时返回给用户;关闭 Range 回源配置,即便用户请求的是部分文件,CDN 在回源时仍会拉取整个文件,而后进行缓存,并响应给用户其要求的部分文件。开启 Range 回源配置能够有效提高大文件分发效率,提升响应速度,降低源站压力。 ## 高级配置 ### 压缩设置 可开启或关闭gzip压缩,并定义需要压缩的文件类型 ### Websocket配置 开启后,nginx就可以代理websocket的请求了 ### 错误页面配置 支持自定义404和50x页面 ### 源站请求头 即在回源时,附加一个请求头回源。系统默认传X-Real-IP请求头,值为客户端的IP给源服务器。也可以设置其它的请求头,附加客户IP,如 ![](https://img.kancloud.cn/ca/c1/cac1489936ee670fc42dd4117ec04602_1050x636.png) ### CDN响应头 返回内容给客户端时,增加一个响应头 ### URL转向 此URL转向功能使用的是Nginx的rewrite模块,更详情的说明参考[http://nginx.org/en/docs/http/ngx\_http\_rewrite\_module.html#rewrite](http://nginx.org/en/docs/http/ngx_http_rewrite_module.html#rewrite)![](https://img.kancloud.cn/f8/0b/f80b760ee7708050f2fb7eeb07a89b53_1004x836.png) * 域名端口 - 匹配指定的域名和端口转向。输入.\*时,匹配所有的域名和端口;输入www.baidu.com时,匹配这个域名(不限端口);输入www.baidu.com:8080时,只转向当域名为www.baidu.com且端口为8080的情况;也支持多个域名,用|分隔,[如www.baidu.com|www.baidu.com](http://xn--www-eo8e.baidu%7Baiducn/),匹配这两个域名(不限端口)。 * 匹配 - 匹配的URL * 转向到 - 跳转到的URL