当前分类用于承载下级文档目录。

新增网站

在CDN管理后台的网站管理中，点击新增网站按钮来添加需要加速的网站。

• 域名 - 支持泛域名如*.example.com，多个域名以空格分隔
• 源IP - 支持IP和域名（域名不能与加速域名相同），多个以空格分隔
• 源端口 - 默认80
• 监听端口 - 默认80

网站编辑

点击网站列表中的编辑按钮，可以修改网站的各项配置。

基本设置

可以修改域名、源站IP、源端口等基本信息。

HTTPS设置

支持上传自有证书或使用自动签发的免费证书。

安全设置

主要是配置CC防护，根据实际情况调整防护策略。

缓存规则

CDN的缓存配置用于控制节点对源站内容的缓存策略，支持按文件后缀、目录、完整URL等方式配置缓存规则，可以设置缓存时间和是否忽略参数缓存，合理的缓存可以减轻源站服务器资源负担，并且实现网站加速效果。

高级配置

可以配置回源协议、回源Host、自定义请求头、响应头等高级选项。

证书管理

管理网站的SSL/TLS证书，支持自动签发Let's Encrypt免费证书、上传自有证书等。

DNSAPI配置

根据所使用的DNSAPI通过DNS解析认证申请API。

刷新预热

当源站内容更新后，可以通过刷新功能来清除节点上的旧缓存。预热功能可以提前将内容分发到节点。

URL刷新

刷新指定URL的缓存。

目录刷新

刷新指定目录下所有缓存。

URL预热

提前将指定URL的内容缓存到节点。

CC规则

CC防护规则用于防御CC攻击，由匹配器、过滤器、动作组成。

匹配器

匹配器用于匹配客户端的请求，支持按IP、URL、User-Agent、Referer等多种方式匹配。

过滤器

过滤器用于对匹配到的请求进行过滤验证，支持请求频率限制、JS验证、滑动验证、时间戳鉴权等多种方式。

请求频率

基于请求频率来过滤，可以设置在指定时间窗口内最大请求次数。

JS验证

使用JavaScript来验证客户端是否为真实浏览器。

滑动验证

使用滑动验证码来验证访客。

时间戳鉴权

使用时间戳签名方式来验证请求合法性，支持方式A和方式B两种模式。

动作

ipset

使用iptables的ipset模块拦黑ip，拉黑IP后，此IP不再能够消耗资源，效果最好

exit

cdn自己主动断开连接，此IP还是能够与cdn建立连接来消耗资源

log

不拦黑，不断开，一直使用过滤器过滤

规则

规则由匹配器，过滤器，动作组成。

这里需要说明的是可以指定一个或两个过滤器。 当指定一个过滤器时，当这个过滤器验证失败时，直接执行动作; 当指定两个过滤器时，即指定过滤器1和过滤器2，那么当过滤器1验证失败，这时还不会执行动作，而是继续使用过滤器2验证，只有当两个过滤器都验证失败时，才执行动作。这样可以有效减少误封，比如过滤器1使用请求频率，过滤器2使用滑动验证，这样可以防止误封请求量比较大的客户。

规则组

一个或多个规则组成一个。网站就是绑定的规则组。

ACL是对客户访问控制的规则，当客户请求匹配规则时，会返回403。ACL与cc规则类似，只是ACL没有过滤器，而是直接匹配后执行相应的行为，允许或拒绝。

ACL规则组

• 默认行为 - 可选允许或拒绝，当所有规则没有匹配时，执行默认行为。
• 规则列表 - 按顺序一条条匹配，直到匹配才中止，没有匹配就执行默认行为

ACL规则

ACL规则的匹配项和操作符跟CC规则的基本一样，具体说明请参考CC规则 规则支持设置多个匹配项，当设置多个匹配项时，只有所有匹配项匹配成功，这个规则才算匹配。

当前分类用于承载下级文档目录。

源程序如何获取客户端真实IP

CDN默认给源服务器发送了两个请求头，X-Real-IP和X-Forwarded-For，这两个请求头都带有客户端的真实IP。 源程序在不配置的情况下，默认获取到的是节点IP，下面有两种方法来获取真实客户端IP

配置宝塔Nginx，不用修改网站程序

未配置前：

其中106.55.151.50是节点IP 开始配置：

在配置文件里，增加

    set_real_ip_from  0.0.0.0/0;
    real_ip_header    X-Forwarded-For;

如图： 对于单个网站生效：

对于所有网站生效：

配置后，访问日志里显示真实IP了

修改网站程序

如果是php程序，就使用如下代码获取真实IP

$realIP = $_SERVER['HTTP_X_REAL_IP'];

即从X-Real-IP请求头获取

如何关闭宝塔防火墙

为了防止宝塔防火墙拉黑CDN节点，需要关闭宝塔的防火墙。方法如下： 1. 关闭Nginx免费防火墙 软件商店-》找到Nginx免费防火墙，点击设置弹出设置页面，点击关闭防火墙，如图：

2. 关闭Nginx付费防火墙 如果购买有Nginx付费的防火墙，在左侧菜单点击防火墙，切换到全局设置，点击防火墙开关关闭，如图：

出现530错误如何解决

检查域名是否已经添加到CDN

复制出现530的域名，在网站列表里搜索，看是否能找到这个域名

检查访问的端口是否已经监听

比如你打开http://www.baidu.com/出现530，那边需要在http监听80端口 比如打开的是http://www.baidu.com:8080,需要在http监听里加8080端口 比如打开的是https://www.baidu.com:4433,需要在https监听里加4433端口

是否已经解析到正确的cname地址

打开后台的“网站管理”-》“查看更多”-》“所有域名”，输入出现530错误的域名，点击搜索，看解析状态是否正常

如果不正常，请更正解析

访问网站出现502错误怎么办

当访问网站返回502状态码时，表示节点连接源服务器时，连接被断开，按下面步骤检查

1. 如果源服务器装的是宝塔，请关闭宝塔防火墙看看
2. 检查回源端口，是否在源服务器有监听，在节点使用命令curl -v 源ip:回源端口 测试
3. 先用itdog.cn测试看下是哪个节点出现的502在节点，使用如下命令测试回源是否正常

如果回源协议是http，回源端口为80, 则测试命令为

curl -v --resolve 域名:80:源IP http://域名/

如果回源端口是443，回源协议是https，则测试命令为

curl -v -k --resolve 域名:443:源IP https://域名/

1. 由于节点的nginx upstream keepalive_timeout设置为了50s，如果偶尔出现502，回源时间很小，需要检查源服务器nginx的keepalive_timeout是否大于50s

网站无法加载http静态资源怎么办

开启网站的https后，无法加载http的静态资源，如css,js等 方法一: 如果源服务器配置了https，可以把回源协议改为https 方法二: 添加响应头：名称：Content-Security-Policy 值：upgrade-insecure-requests 如图：

如何修改证书的签发类型

最近发现let's encrypt申请.top .life等域名会出现DNSSEC: DNSKEY Missing的错误，实际上域名并没有开启DNSSEC，然后切换到ZeroSSL可以申请成功，下面是切换的方法：

1. 如果证书已经申请了，但失败了，可以到证书列表里修改类型重签，如下：

1. 然后可以修改默认的证书类型，这样在网站列表里一键申请，就会使用默认的证书类型了，如图：

当前分类用于承载下级文档目录。

四层转发支持TCP和UDP协议的转发，支持访问控制，支持连接数限制等。

新增单个转发

• 监听端口 - 支持三种格式88 88/udp 88/tcp，如果不带协议，默认是tcp，多个端口以空格分隔
• 源IP - 目录仅支持IP，不支持域名
• 源端口 - 任意端口

批量添加转发

格式为: 监听端口|IP|回源端口 如： 88 99|1.2.3.4|8080 88/tcp 99/udp|1.2.3.4|8080

监听设置

可删除或添加监听端口

源站设置

参考网站编辑

单IP连接数限制

限制单个IP同时发起的连接数限制

ACL

目前仅支持基于客户端的IP访问控制