一、新增网站
1.1 新增单个网站
以普通用户身份登录后台后,按照以下步骤操作:
- 点击左侧菜单 「网站管理」→「我的网站」,进入网站列表页面
- 点击工具栏上的 「新增」 按钮,弹出添加网站窗口
▲ 新增网站弹窗界面
| 字段 | 说明 |
|---|---|
| 所属分组 | 可以为空,也可以选择一个或多个分组,方便你管理多个网站 |
| 套餐 | 选择你已经购买的套餐 |
| 域名 | 填写你要接入的域名,如有多个域名请用 空格 分隔 |
| 源地址 | 你的源站地址,可以填 IP 地址,也可以填域名 |
| 源端口 | 默认是 80,如果你的源站使用了其他端口,请自行修改 |
1.2 批量添加网站
如果你有多个网站需要同时添加,可以使用批量添加功能。同样进入 「网站管理」→「我的网站」,点击 「新增」 按钮后,在弹出窗口中将 数量栏切换到「批量」 模式。
▲ 批量添加模式界面
批量模式下,在「数据」栏中按固定格式填写,一行一个网站:
格式一:域名|源地址|源端口
例如:www.example.com|1.2.3.4|8080
格式二:域名|源地址(源端口默认为80)
例如:www.example.com|1.2.3.4
提示:源地址可以是 IP 也可以是域名,批量模式非常适合一次性迁移多个站点。
二、网站编辑
网站添加完成后,你可以在网站列表点击对应网站进入编辑页面,对各项配置进行详细设置。
2.1 HTTP 设置
▲ HTTP 监听端口设置
监听端口默认为 80。如果你需要监听其他端口(如 8080),直接填写即可。多个端口用 空格 分隔。
2.2 HTTPS 设置
▲ HTTPS 证书与端口配置
| 字段 | 说明 |
|---|---|
| 证书 | 选择要使用的 SSL 证书。你可以在左侧菜单手动添加证书,也可以在网站列表中选中该网站后点击「一键申请」 |
| 监听端口 | 默认 443,可以改为其他端口(如 8443),多个端口用空格分隔 |
| 强制 HTTPS | 开启后,所有 HTTP 请求会自动跳转到 HTTPS。可自定义跳转端口,默认为监听端口的第一个 |
| 回源SSL协议 | 回源时使用的 SSL 协议版本,可选:SSLv2、SSLv3、TLSv1、TLSv1.1、TLSv1.2、TLSv1.3 |
2.3 源站设置
▲ 源站地址与负载均衡设置
回源协议
可选三种方式:
- HTTP — 始终以 HTTP 协议回源
- HTTPS — 始终以 HTTPS 协议回源
- 跟随协议 — 用户访问 HTTP 就用 HTTP 回源,访问 HTTPS 就用 HTTPS 回源
负载方式
当你有多台源服务器时,可以选择以下负载均衡策略:
| 负载方式 | 工作原理 |
|---|---|
| IP Hash | 同一个客户端 IP 的请求,始终分配到同一台后端服务器 |
| 轮询 | 按顺序逐台分配请求,依次轮流 |
| URL Hash | 同一个 URL 的请求,始终分配到同一台后端服务器 |
| 最少连接数 | 优先分配给当前连接数最少的服务器 |
| 随机 | 随机分配到任意一台后端服务器 |
源地址与权重
- 源地址可以是 IP 或域名,但仅支持一个域名,且域名不能与 IP 混合使用
- 权重 — 数值越大,分配到的请求越多
- 状态 — 可选「上线」「下线」「备用」
健康检查
当你设置了多台源服务器时,可以开启健康检查功能,系统会定时检测后端服务器状态,自动上线或下线故障服务器。
| 配置项 | 说明 |
|---|---|
| 协议 | 目前仅支持 HTTP 协议检查,所以回源协议需设为 HTTP |
| 域名 | 检查时使用的域名 |
| 路径 | 默认为 /(根目录),可根据需要修改 |
| 有效状态码 | 后端服务器返回的状态码在此列表内才视为正常,例如返回 404 就会被判定为异常 |
回源端口映射
开启后,回源端口会跟随用户实际访问的端口。例如:
- 访问
http://www.abc.com:81/→ 回源端口 81,协议 HTTP - 访问
http://www.abc.com:82/→ 回源端口 82,协议 HTTP - 访问
https://www.abc.com:91/→ 回源端口 91,协议 HTTPS - 访问
https://www.abc.com:92/→ 回源端口 92,协议 HTTPS
2.4 安全配置
▲ 安全配置面板
CC 防护 — 默认防护模式
系统内置了 7 种防护模式,你可以根据当前网站状态选择合适的模式:
| 防护模式 | 说明 | 适用场景 |
|---|---|---|
| 宽松模式 | 几乎不影响正常用户 | 日常使用,没有被攻击时推荐 |
| JS 验证 | 浏览器自动执行 JS 代码完成验证,无需人工操作 | ⭐ 被攻击时首选推荐 |
| 5秒盾 | 页面显示 5 秒倒计时,之后自动验证 | 攻击较严重时使用 |
| 点击验证 | 用户需要手动点击按钮才能访问 | 需要人工确认的场景 |
| 滑块验证 | 拖动滑块完成验证 | 防御好,对用户体验影响较小 |
| 验证码 | 输入图片验证码,防御最强 | 严重攻击时使用 |
| 旋转图片 | 手动旋转图片至正确方向,防御最强 | 严重攻击时使用 |
自动提升防护等级
可以根据网站的 QPS(每秒请求数)来 动态切换 防护规则。平时使用「宽松模式」不影响用户体验,当 QPS 突然飙升(可能正在被攻击),系统自动切换到更强的防护规则,攻击结束后自动恢复。
推荐做法:日常使用「宽松模式」,自动提升时切换到「滑块验证」,这样可以很好地兼顾用户体验和网站安全。
自定义规则(API 放行)
当你开启了浏览器识别、滑块验证等防护时,直接调用 API 会被拦截。这时可以通过添加自定义规则来放行 API 请求。
▲ 自定义CC规则 — 匹配条件与执行过滤
自定义规则由两部分组成:匹配条件(匹配项 + 操作符 + 匹配值)和 执行过滤(条件成立时执行的动作)。
支持的匹配项:
| 匹配项 | 说明 | 示例 |
|---|---|---|
| IP 地址 | 客户端 IP | 192.168.1.1 |
| 域名 | 访问的域名 | www.example.com |
| 请求 URI | 带参数的完整路径 | /index.php?page=1 |
| 请求 URI(不带参数) | 自动去除参数后匹配 | /index.php |
| 请求方法 | HTTP 方法 | GET、POST |
| 浏览器 UA | 浏览器标识字符串 | Chrome/111.0.0.0 |
| 请求来源 | Referer 来源 | http://www.example.com/page |
| 国家代码 | 两位字母国家代码 | CN(中国)、HK(香港) |
支持的操作符:
| 操作符 | 说明 | 举例 |
|---|---|---|
| 等于 | 完全匹配 | URI = /api/test |
| 不等于 | 不完全匹配 | — |
| 包含 | 值中包含匹配值 | URI 为 /index.php,匹配值 php → 成立 |
| 不包含 | 值中不包含匹配值 | — |
| 前缀匹配 | 从头部开始匹配 | URI 为 /api/index,匹配值 /api → 成立 |
| 后缀匹配 | 从尾部开始匹配 | URI 为 /api/index,匹配值 index → 成立 |
| 正则匹配 | 正则表达式匹配 | ^/[0-9]+ 匹配以 / 开头后接数字的 URI |
匹配值支持多个,一行一个。当条件成立时,执行过滤中选择的动作(如放行、拉黑、5秒盾等)。
屏蔽设置
- 屏蔽透明代理 — 屏蔽那些公开免费的 HTTP 代理访问
- 屏蔽区域 — 可选择屏蔽境外或境内访问,还可以决定是否包含港澳台地区
黑白名单
- 爬虫白名单 — 开启后,百度、谷歌等搜索引擎爬虫在防 CC 模式下仍然可以正常抓取你的网站
- 黑名单 — 支持单个 IP 以及掩码为 8、16、24 的 IP 段
- 白名单 — 支持单个 IP 以及掩码为 8、16、24 的 IP 段
2.5 访问控制
▲ 访问控制配置面板
- ACL 规则 — 用来限制特定客户端的访问(如根据 IP、用户代理等)。ACL 规则需要提前在「ACL 管理」中创建好才能使用
- 防盗链 — 在「允许的域名」中填入域名后,只允许这些域名引用你网站的资源。还可以选择是否允许空来源(即直接访问)
2.6 回源配置
▲ 回源域名与Range回源设置
回源域名
默认为用户访问的域名。例如用户通过 www.example.com 访问,回源时也使用同一域名。你也可以自定义为其他域名。
Range 回源
- 开启时 — CDN 只拉取用户请求的那部分文件进行缓存和返回,适合大文件分发,能有效提高效率、降低源站压力
- 关闭时 — 即使用户只请求一部分,CDN 也会回源拉取整个文件
建议:如果你的网站有大文件下载需求(如视频、软件包),建议开启 Range 回源。
2.7 高级配置
压缩设置
可以开启或关闭 Gzip 压缩,并自定义需要压缩的文件类型,减少传输大小、加快加载速度。
WebSocket 配置
开启后,CDN 就可以代理 WebSocket 请求了。如果你的网站用到了即时通讯、实时推送等功能,请开启此选项。
错误页面配置
支持自定义 404(页面未找到)和 50x(服务器错误)页面,让错误页面更符合你的品牌风格。
源站请求头
在回源时附加自定义的请求头。系统默认会传 X-Real-IP 头(值为客户端真实 IP)给源服务器。你也可以添加其他自定义请求头:
▲ 自定义源站请求头示例
CDN 响应头
在返回内容给用户时,可以增加一个自定义的响应头。
URL 转向
使用 Nginx 的 rewrite 模块实现 URL 跳转:
▲ URL 转向配置面板
| 字段 | 说明 |
|---|---|
| 域名端口 | 指定匹配哪些域名和端口。.* 表示匹配所有;www.example.com 匹配该域名所有端口;www.example.com:8080 精确匹配域名+端口。多个域名用 | 分隔 |
| 匹配 | 要匹配的 URL 路径 |
| 转向到 | 跳转的目标 URL |
三、缓存配置
3.1 缓存规则说明
▲ 缓存规则配置面板
| 配置项 | 说明 |
|---|---|
| 类型 | 可选「后缀名」「目录」「全路径」三种匹配方式(详见下方说明) |
| 有效期 | 缓存时间,可设定秒、小时、天 |
| 忽略参数 | 开启后,/a.css 和 /a.css?v=1 视为同一个缓存 |
| 强制缓存 | 想缓存动态内容,或设置了缓存但未生效时,可以开启此项 |
| 不缓存条件 | 设置特定请求不走缓存(如带某个 Cookie 的请求) |
类型详解:
- 后缀名 — 填写
css|js|png,表示缓存所有 .css、.js、.png 文件 - 目录 — 填写
aa|bb,表示缓存 /aa/ 和 /bb/ 目录下的所有请求 - 全路径 — 填写
/123.css,表示只缓存这一个文件
3.2 实战案例
案例一:缓存整个 WordPress 站点(排除已登录用户)
缓存整个网站,但对带有 wordpress_logged_in Cookie 的已登录用户请求不缓存:
▲ WordPress 缓存配置示例
案例二:缓存整个目录,但排除某个文件
例如缓存整个 /foo/ 目录,但不缓存其中的 1.html 文件:
▲ 目录缓存排除规则示例
四、刷新预热
4.1 刷新缓存
当你的源站内容更新后,可以通过刷新缓存让 CDN 重新拉取最新内容:
- 支持刷新 具体的 URL(精确刷新单个文件)
- 支持刷新 整个目录(目录下所有文件缓存都会被清除)
4.2 预热 URL
为了提高首次访问速度和缓存命中率,你可以在用户访问之前提前预热资源。CDN 会主动去源站拉取内容并缓存,这样第一个用户访问时就能直接命中缓存。
建议:网站大版本更新后,及时使用「刷新缓存」清除旧内容,再使用「预热 URL」让热门页面提前缓存。
五、CC 防护规则
CC 防护规则由三部分组成:匹配器 → 过滤器 → 动作。
简单理解就是:谁来了(匹配器判断)→ 怎么验证(过滤器检查)→ 不通过怎么办(执行动作)。
5.1 匹配器
匹配器用来判断「哪些请求需要被检查」。一个匹配器可以包含多个匹配项,所有匹配项都满足时,匹配器才生效。
▲ CC规则匹配项设置
匹配项包括:IP地址、域名、请求URI、请求URI(不带参数)、请求方法、浏览器UA、请求来源、国家代码。
▲ CC规则操作符选择
操作符包括:等于、不等于、包含、不包含、前缀匹配、后缀匹配、正则匹配(用法与安全配置中的自定义规则一致)。
5.2 过滤器
过滤器用来验证请求是否合法,验证失败达到一定次数后执行动作。
▲ 过滤器类型选择
| 过滤器类型 | 工作原理 |
|---|---|
| 请求速率 | 限制客户端在一定时间内的请求总数,可限制总 URL 请求数或同一 URL 请求数 |
| 302 跳转 | CDN 返回一个 302 跳转地址,客户端能正确跟随跳转才算通过 |
| 浏览器识别 | CDN 返回一段 JS 代码,浏览器能执行并跳转才算通过 |
| 滑动验证 | 用户需要拖动滑块完成验证 |
| 验证码 | 用户需要输入正确的验证码 |
| URL 鉴权 | 适用于 API 场景,需客户端配合 MD5 签名验证 |
▲ 请求速率过滤器配置
URL 鉴权(进阶)
URL 鉴权适用于 API 防 CC 攻击。CDN 端定义密钥,客户端对 URI、时间戳、随机数、密钥进行 MD5 计算并传给 CDN 验证。提供 A 和 B 两种鉴权方式。
方式 A:
URL格式:http://域名/路径/文件?sign=md5值&t=时间戳
md5值 = md5(密钥 + uri小写 + 时间戳)
参数 t 的时间戳需与签名中的一致
▲ URL 鉴权方式 A 配置
| 配置项 | 说明 |
|---|---|
| n秒内最大失败次数 | 如 60 秒内失败超 5 次,拉黑 IP |
| 密钥 | 用于 MD5 计算的密钥,客户端和 CDN 需保持一致 |
| 签名参数名 | 默认 sign |
| 时间戳参数名 | 默认 t |
| 最大时间相差 | 允许客户端时间与服务器时间相差的秒数 |
| 签名使用次数 | 同一签名允许使用的次数,0 为不限制 |
方式 B:
URL格式:http://域名/路径/文件?sign=时间戳-随机字符串-uid-md5值
md5值 = md5(uri小写-时间戳-随机字符串-uid-密钥)
注意连接符 - 也参与 MD5 计算,uid 暂设为 0
▲ URL 鉴权方式 B 配置
方式 B 不需要单独传时间戳参数,因为已包含在签名中。其他配置与方式 A 一致。
5.3 动作
当请求无法通过过滤器验证时,系统会执行以下动作之一:
| 动作 | 说明 |
|---|---|
| ipset | 使用 iptables 的 ipset 模块直接封禁 IP,效果最好,被封禁的 IP 完全无法消耗资源 |
| exit | CDN 主动断开连接,但该 IP 仍可以与 CDN 建立新连接 |
| log | 仅记录日志,不拦截不断开,持续使用过滤器检查 |
5.4 规则组合
一条完整的 CC 规则 = 匹配器 + 过滤器 + 动作。
▲ CC规则组合配置
关于双过滤器机制:
- 指定 1 个过滤器时 — 过滤器验证失败 → 立即执行动作
- 指定 2 个过滤器时 — 过滤器 1 失败后不会立即执行动作,而是继续用过滤器 2 验证。两个都失败才执行动作
使用场景:过滤器 1 用「请求频率」,过滤器 2 用「滑块验证」。这样即使某个正常用户请求量大触发了频率限制,只要通过滑块验证就不会被封,有效减少误封。
多条规则组成一个规则组,网站绑定的就是规则组。
六、ACL 访问控制管理
ACL(访问控制列表)用于控制客户端的访问权限。与 CC 规则不同,ACL 没有过滤器,匹配后直接执行「允许」或「拒绝」。
6.1 ACL 规则组
▲ ACL 规则组配置
- 默认行为 — 可选「允许」或「拒绝」,当所有规则都没有匹配时执行默认行为
- 规则列表 — 按从上到下的顺序逐条匹配,匹配到第一条即停止
6.2 ACL 规则
▲ ACL 规则匹配设置
ACL 规则的匹配项和操作符与 CC 规则基本一致(参考第五章的说明)。一条规则支持设置多个匹配项,所有匹配项全部满足时,这条规则才算匹配成功。
七、四层转发
四层转发支持 TCP 和 UDP 协议的转发,同时支持访问控制和连接数限制。
7.1 新增单个转发
▲ 四层转发新增界面
| 字段 | 说明 |
|---|---|
| 监听端口 | 支持三种格式:88(默认 TCP)、88/udp、88/tcp。多个端口用空格分隔 |
| 源 IP | 仅支持 IP 地址,不支持域名 |
| 源端口 | 任意端口 |
7.2 批量添加转发
▲ 批量添加转发格式说明
格式为 监听端口|IP|回源端口,一行一个:
88 99|1.2.3.4|8080
88/tcp 99/udp|1.2.3.4|8080
八、转发编辑
8.1 监听设置
▲ 转发监听端口管理
可以随时删除或添加监听端口。
8.2 源站设置
配置方式与「网站编辑 → 源站设置」一致,请参考 2.3 源站设置。
8.3 ACL 访问控制
▲ 四层转发 ACL 配置
可以为四层转发单独配置 ACL 访问控制规则。
教程到此结束!如果你在使用过程中遇到任何问题,请随时 联系客服 获取帮助。