放行DDoS高防回源IP
如果源站服务器上部署了非阿里云安全软件,在修改DNS解析接入网站业务前,您需要将DDoS高防的回源IP地址加入安全软件的白名单中,避免DDoS高防的回源流量被源站服务器上的安全软件误拦截。本文介绍如何放行DDoS高防回源IP。
背景信息
业务接入DDoS高防进行防护后,正常访问流量将会经过DDoS高防实例清洗,并由DDoS高防回源IP地址转发至源站服务器。因此,如果DDoS高防的回源地址不在源站安全软件的白名单中,访问流量可能被错误拦截,导致业务无法访问。
DDoS高防作为一个反向代理,其中包含了一个Full NAT的架构。没有使用DDoS高防代理时,对于源站来说真实客户端的地址非常分散,且正常情况下每个源IP的请求量都不大。使用DDoS高防代理后,由于高防回源的IP段固定且有限,对于源站来说所有的请求都来自高防回源IP段,且分摊到每个回源IP上的请求量会增大很多,这种情况可能会被误认为回源IP在攻击源站。如果源站有其他防御DDoS攻击的安全策略,很可能对回源IP的请求进行拦截或者限速。
例如,最常见的502错误,即表示DDoS高防转发请求到源站,但源站却没有响应,因为回源IP可能被源站的防火墙拦截。
所以,在修改DNS解析接入网站业务前,请在源站服务器的安全软件中放行DDoS高防的回源IP地址。
操作步骤
在顶部菜单栏左上角处,选择服务所在地域:
DDoS高防(新BGP):选择中国内地地域。
DDoS高防(国际):选择非中国内地地域。
您可以通过切换地域分别管理和配置DDoS高防(新BGP)和DDoS高防(国际)实例。在使用DDoS高防服务时,请确认您已选择正确的地域。
在左侧导航栏,选择。
在域名接入页面的右上方,单击查看回源IP网段,复制DDoS高防的回源IP网段。
打开源站服务器上的安全软件,将回源IP网段添加到白名单。