不同场景下高防源站保护的方式和原理不同。请参考本文介绍的场景,选择适合您当前架构的方式进行配置。

说明 配置源站保护,并不能防止没有经过高防的流量对源站直接发起DDoS攻击(甚至将源站打进黑洞)。配置高防源站保护只针对小流量CC攻击以及Web攻击有防护意义,对于防护大规模DDoS攻击的意义并不大。

源站保护配置场景

  • 高防IP > ECS

    在这种架构下,到达源站ECS的访问流量的IP均为真实源IP,此时不能在源站ECS上配置源站保护。如果配置源站保护,将导致高防IP转发到源站ECS的流量被所配置的源站保护策略阻拦。

  • 高防IP > 非阿里云源站服务器

    在这种架构下,到达源站的访问流量的源IP都将变成高防的回源IP。您可以通过配置源站服务器上的安全软件(如iptables、防火墙等)仅放行高防的回源IP,同时拦截其他所有来自非高防回源IP段的IP地址的访问,实现源站保护。

  • 高防IP > SLB > ECS

    在这种架构下,到达源站ECS的访问流量的IP均为真实源IP,此时不能在源站ECS上配置源站保护。

    建议您在负载均衡SLB实例配置源站保护策略,通过在SLB实例设置访问控制来只允许高防回源IP访问SLB实例。

  • 高防IP > WAF/CDN > ECS

    在这种架构下,到达源站ECS的访问流量的IP为WAF或者CDN的回源IP。

    如果条件允许,您可以在WAF、CDN配置相应防护策略,而源站ECS的保护策略则针对WAF或CDN的回源IP来配置源站保护

  • 高防IP > WAF/CDN > 非阿里云源站服务器

    在这种架构下,到达源站服务器的访问流量的IP为WAF或者CDN的回源IP。

    如果条件允许,您可以在WAF、CDN配置相应防护策略,而源站服务器的保护策略则针对WAF或CDN的回源IP来配置源站保护