接入DDoS高防后如何設(shè)置源站保護
業(yè)務接入DDoS高防后,您應當盡量避免源站IP暴露,以防止攻擊者繞過DDoS高防直接攻擊源站。如果源站IP有暴露風險,建議您設(shè)置源站保護,例如只允許DDoS高防回源IP的入方向流量,提升業(yè)務可用性。本文介紹不同網(wǎng)絡架構(gòu)下源站保護的設(shè)置方法。
源站保護在服務器邊緣生效,主要防御小流量CC攻擊和Web攻擊,對于防護大流量的DDoS攻擊意義并不大。如果是大流量DDoS攻擊,流量抵達服務器邊緣時,其規(guī)模已遠超服務器的處置能力,源站仍可能會被攻擊進入黑洞。因此如果源站IP不慎暴露,仍建議您及時更換IP。詳細信息,請參見源站IP暴露的解決辦法。
Web業(yè)務的網(wǎng)絡架構(gòu) | 源站保護設(shè)置說明 |
DDoS高防->阿里云ECS | 該架構(gòu)下,轉(zhuǎn)發(fā)到源站的流量的來源IP為DDoS高防的回源IP。 建議您在源站ECS的安全組中設(shè)置源站保護策略,只放行DDoS高防的回源IP段,并拒絕其他所有來自非DDoS高防回源IP段的訪問請求。您可以在DDoS高防控制臺獲取高防的回源IP段。詳細內(nèi)容,請參見放行DDoS高防回源IP 。 |
DDoS高防->非阿里云ECS源站服務器 | 該架構(gòu)下,轉(zhuǎn)發(fā)到源站的流量的來源IP為DDoS高防的回源IP。 建議您在源站服務器上的安全軟件(例如iptables、防火墻等)中設(shè)置源站保護策略,只放行DDoS高防的回源IP段,并拒絕其他所有來自非DDoS高防回源IP段的訪問請求,實現(xiàn)源站保護。 |
DDoS高防->負載均衡SLB(4層)->阿里云ECS | 該架構(gòu)下,轉(zhuǎn)發(fā)到源站的流量的來源IP為DDoS高防的回源IP。 建議您在負載均衡SLB實例上設(shè)置源站保護策略,將DDoS高防的回源IP段添加到SLB的訪問控制白名單中,并開啟訪問控制,實現(xiàn)只允許DDoS高防的回源IP訪問SLB實例。更多信息,請參見開啟訪問控制。 |
DDoS高防->負載均衡ALB(7層)->阿里云ECS | 該架構(gòu)下,轉(zhuǎn)發(fā)到源站ECS的流量的來源IP為負載均衡ALB的回源IP。 建議您在負載均衡實例上設(shè)置源站保護策略,將DDoS高防的回源IP段添加到ALB的訪問控制白名單中,并開啟訪問控制,實現(xiàn)只允許DDoS高防的回源IP訪問ALB實例。更多信息,請參見訪問控制。 |
同時部署DDoS高防、WAF、CDN/DCDN、阿里云ECS。
說明 源站非阿里云ECS時,網(wǎng)絡架構(gòu)相同。 | 方案一:該架構(gòu)下,轉(zhuǎn)發(fā)到源站ECS的流量,來源IP為DCDN的回源IP。DCDN會隱藏源站ECS的IP,一般情況下您無需配置訪問控制策略,如果您必須設(shè)置,請聯(lián)系阿里云技術(shù)支持。 方案二:該架構(gòu)下,轉(zhuǎn)發(fā)到源站ECS的流量,來源IP為WAF的回源IP。 建議您在源站ECS中設(shè)置相應的訪問控制策略。更多信息,請參見設(shè)置源站保護。 |