业务接入DDoS高防后,到达源站服务器的业务流量都由DDoS高防转发,这种情况下您可以设置源站的访问控制策略,例如只允许DDoS高防回源IP的入方向流量,达到保护源站的目的。不同接入场景下DDoS高防源站保护的设置方法不同,您可以根据本文介绍选择适合您当前网络架构的方法。
说明 设置源站保护主要针对小流量CC攻击和Web攻击有防护效果,对于防护大规模的DDoS攻击意义并不大。设置源站保护并不能防止没有经过DDoS高防的流量对源站直接发动的DDoS攻击(甚至将源站打入黑洞)。
| Web业务的网络架构 | 源站保护设置说明 |
|---|---|
| DDoS高防->阿里云ECS | 该架构下,转到到源站的流量的来源IP为DDoS高防的回源IP。 建议您在源站ECS的安全组中设置源站保护策略,只放行DDoS高防的回源IP段,并拒绝其他所有来自非DDoS高防回源IP段的访问请求。您可以在DDoS高防控制台获取高防的回源IP段。详细内容,请参见如何查看高防回源IP段 。 |
| DDoS高防->非阿里云ECS源站服务器 | 该架构下,转到到源站的流量的来源IP为DDoS高防的回源IP。 建议您在源站服务器上的安全软件(例如iptables、防火墙等)中设置源站保护策略,只放行DDoS高防的回源IP段,并拒绝其他所有来自非DDoS高防回源IP段的访问请求,实现源站保护。 |
| DDoS高防->负载均衡SLB(4层)->阿里云ECS | 该架构下,转到到源站的流量的来源IP为DDoS高防的回源IP。 建议您在负载均衡SLB实例上设置源站保护策略,将DDoS高防的回源IP段添加到SLB的访问控制白名单中,并开启访问控制,实现只允许DDoS高防的回源IP访问SLB实例。更多信息,请参见开启访问控制。 |
| DDoS高防->负载均衡ALB(7层)->阿里云ECS | 该架构下,转发到源站ECS的流量的来源IP为负载均衡ALB的回源IP。 建议您在负载均衡实例上设置源站保护策略,将DDoS高防的回源IP段添加到ALB的访问控制白名单中,并开启访问控制,实现只允许DDoS高防的回源IP访问ALB实例。更多信息,请参见访问控制。 |
| DDoS高防->Web应用防火墙、阿里云CDN->阿里云ECS | 该架构下,转发到源站ECS的流量的来源IP为WAF或者CDN的回源IP。 建议您在WAF、CDN中设置相应的源站保护策略。更多信息,请参见设置源站保护。 |
| DDoS高防->Web应用防火墙、阿里云CDN->非阿里云ECS源站服务器 |
在文档使用中是否遇到以下问题
更多建议
匿名提交