接入DDoS高防后如何设置源站保护

业务接入DDoS高防后,您应当尽量避免源站IP暴露,以防止攻击者绕过DDoS高防直接攻击源站。如果源站IP有暴露风险,建议您设置源站保护,例如只允许DDoS高防回源IP的入方向流量,提升业务可用性。本文介绍不同网络架构下源站保护的设置方法。

源站保护在服务器边缘生效,主要防御小流量CC攻击和Web攻击,对于防护大流量的DDoS攻击意义并不大。如果是大流量DDoS攻击,流量抵达服务器边缘时,其规模已远超服务器的处置能力,源站仍可能会被攻击进入黑洞。因此如果源站IP不慎暴露,仍建议您及时更换IP。详细信息,请参见源站IP暴露的解决办法

Web业务的网络架构

源站保护设置说明

DDoS高防->阿里云ECS

该架构下,转发到源站的流量的来源IP为DDoS高防的回源IP。

建议您在源站ECS的安全组中设置源站保护策略,只放行DDoS高防的回源IP段,并拒绝其他所有来自非DDoS高防回源IP段的访问请求。您可以在DDoS高防控制台获取高防的回源IP段。详细内容,请参见放行DDoS高防回源IP

DDoS高防->非阿里云ECS源站服务器

该架构下,转发到源站的流量的来源IP为DDoS高防的回源IP。

建议您在源站服务器上的安全软件(例如iptables、防火墙等)中设置源站保护策略,只放行DDoS高防的回源IP段,并拒绝其他所有来自非DDoS高防回源IP段的访问请求,实现源站保护。

DDoS高防->负载均衡SLB(4层)->阿里云ECS

该架构下,转发到源站的流量的来源IP为DDoS高防的回源IP。

建议您在负载均衡SLB实例上设置源站保护策略,将DDoS高防的回源IP段添加到SLB的访问控制白名单中,并开启访问控制,实现只允许DDoS高防的回源IP访问SLB实例。更多信息,请参见开启访问控制

DDoS高防->负载均衡ALB(7层)->阿里云ECS

该架构下,转发到源站ECS的流量的来源IP为负载均衡ALB的回源IP。

建议您在负载均衡实例上设置源站保护策略,将DDoS高防的回源IP段添加到ALB的访问控制白名单中,并开启访问控制,实现只允许DDoS高防的回源IP访问ALB实例。更多信息,请参见访问控制

同时部署DDoS高防、WAF、CDN/DCDN、阿里云ECS。

  • (推荐)方案一:在DCDN上直接开启边缘DDoS、边缘WAF。

    • 有DDoS攻击时:DDoS高防->DCDN->阿里云ECS

    • 无DDoS攻击时:DCDN->阿里云ECS

      说明
      • 该方案仅DCDN支持,CDN不支持。CDN可以使用方案二或将业务迁移到DCDN。

      • DCDN的边缘节点集成了WAF的防护能力,流量无需转发到WAF。

  • 方案二:DDoS高防和CDN/DCDN联动,流量经WAF后再到源站ECS。

    • 有DDoS攻击时:DDoS高防->WAF->阿里云ECS

    • 无DDoS攻击时:CDN/DCDN->WAF->阿里云ECS

说明

源站非阿里云ECS时,网络架构相同。

方案一:该架构下,转发到源站ECS的流量,来源IP为DCDN的回源IP。DCDN会隐藏源站ECS的IP,一般情况下您无需配置访问控制策略,如果您必须设置,请联系阿里云技术支持。

方案二:该架构下,转发到源站ECS的流量,来源IP为WAF的回源IP。

建议您在源站ECS中设置相应的访问控制策略。更多信息,请参见设置源站保护