当使用非网站接入(端口接入TCP业务)、并且源站为阿里云ECS或VPC时,可能存在访问流量绕过DDoS高防直接到达源站的风险。 为规避该风险,为您提供以下配置建议:
  • 在源站ECS的安全组中,配置“只放行高防回源网段”的规则,并拒绝其他非DDoS高防回源IP访问ECS源站。

    您可以在DDoS高防控制台获取高防的回源IP段。相关内容,请参见放行DDoS高防回源IP

  • 如果您有其他信任IP地址需要直接访问ECS源站时(如办公室内网出口IP等),可以在ECS安全组中配置对应的放行规则。