本文中含有需要您注意的重要提示信息,忽略該信息可能對您的業務造成影響,請務必仔細閱讀。
如果源站服務器上設置了IP白名單訪問控制(如安全軟件、安全組),由于設置了DDoS高防后,回源IP是高防回源IP段,您需要將DDoS高防的回源IP段的地址加入安全軟件和安全組的白名單中,避免DDoS高防的回源流量被誤攔截。本文介紹如何放行DDoS高防回源IP。
背景信息
業務接入DDoS高防進行防護后,正常訪問流量將會經過DDoS高防實例清洗,并由DDoS高防回源IP地址轉發至源站服務器。因此,如果DDoS高防的回源地址不在源站安全軟件的白名單中,訪問流量可能被錯誤攔截,導致業務無法訪問。
DDoS高防作為一個反向代理,其中包含了一個Full NAT的架構。沒有使用DDoS高防代理時,對于源站來說真實客戶端的地址非常分散,且正常情況下每個源IP的請求量都不大。使用DDoS高防代理后,由于高防回源的IP段固定且有限,對于源站來說所有的請求都來自高防回源IP段,且分攤到每個回源IP上的請求量會增大很多,這種情況可能會被誤認為回源IP在攻擊源站。如果源站有其他防御DDoS攻擊的安全策略,很可能對回源IP的請求進行攔截或者限速。
例如,最常見的502錯誤,即表示DDoS高防轉發請求到源站,但源站卻沒有響應,因為回源IP可能被源站的防火墻攔截。
所以,在修改DNS解析接入網站業務前,請在源站服務器的安全軟件中放行DDoS高防的回源IP地址。
操作步驟
登錄DDoS高防控制臺。
在頂部菜單欄左上角處,選擇地域。
DDoS高防(中國內地):選擇中國內地地域。
DDoS高防(非中國內地):選擇非中國內地地域。
在左側導航欄,選擇。
在域名接入頁面的右上方,單擊查看回源IP網段,復制DDoS高防的回源IP網段。
打開源站服務器上的安全軟件,將回源IP網段添加到白名單。
相關文檔
配置后可能出現的問題: