业务接入DDoS高防后,到达源站服务器的业务流量都由DDoS高防转发,这种情况下您可以设置源站的访问控制策略,例如只允许DDoS高防回源IP的入方向流量,达到保护源站的目的。不同接入场景下DDoS高防源站保护的设置方法不同,您可以根据本文介绍选择适合您当前网络架构的方法。
Web业务的网络架构 | 源站保护设置说明 |
---|---|
DDoS高防->阿里云ECS |
该架构下,转发到源站的流量的来源IP为DDoS高防的回源IP。 建议您在源站ECS的安全组中设置源站保护策略,只放行DDoS高防的回源IP段,并拒绝其他所有来自非DDoS高防回源IP段的访问请求。您可以在DDoS高防控制台获取高防的回源IP段。详细内容,请参见放行DDoS高防回源IP 。 |
DDoS高防->非阿里云ECS源站服务器 |
该架构下,转发到源站的流量的来源IP为DDoS高防的回源IP。 建议您在源站服务器上的安全软件(例如iptables、防火墙等)中设置源站保护策略,只放行DDoS高防的回源IP段,并拒绝其他所有来自非DDoS高防回源IP段的访问请求,实现源站保护。 |
DDoS高防->负载均衡SLB(4层)->阿里云ECS |
该架构下,转发到源站的流量的来源IP为DDoS高防的回源IP。 建议您在负载均衡SLB实例上设置源站保护策略,将DDoS高防的回源IP段添加到SLB的访问控制白名单中,并开启访问控制,实现只允许DDoS高防的回源IP访问SLB实例。更多信息,请参见开启访问控制。 |
DDoS高防->负载均衡ALB(7层)->阿里云ECS | 该架构下,转发到源站ECS的流量的来源IP为负载均衡ALB的回源IP。
建议您在负载均衡实例上设置源站保护策略,将DDoS高防的回源IP段添加到ALB的访问控制白名单中,并开启访问控制,实现只允许DDoS高防的回源IP访问ALB实例。更多信息,请参见访问控制。 |
DDoS高防->Web应用防火墙、阿里云CDN->阿里云ECS | 该架构下,转发到源站ECS的流量的来源IP为WAF或者CDN的回源IP。
建议您在WAF、CDN中设置相应的源站保护策略。更多信息,请参见设置源站保护。 |
DDoS高防->Web应用防火墙、阿里云CDN->非阿里云ECS源站服务器 |