All Products
Search

This Product

    Anti-DDoS:Konfigurasikan ACL untuk server asal

    Document Center

    Anti-DDoS:Konfigurasikan ACL untuk server asal

    Last Updated:Jul 06, 2025

    Setelah menambahkan situs web Anda ke Anti-DDoS Proxy, penting untuk mencegah paparan alamat IP server asal. Dengan cara ini, penyerang tidak dapat melewati Anti-DDoS Proxy dan langsung mengakses server asal. Jika alamat IP server asal rentan terhadap paparan, kami menyarankan Anda mengonfigurasi Daftar Kontrol Akses (ACL) untuk server asal. Sebagai contoh, konfigurasikan ACL untuk hanya mengizinkan lalu lintas masuk dari alamat IP kembali ke asal instance Anti-DDoS Proxy guna meningkatkan ketersediaan layanan. Topik ini menjelaskan cara mengonfigurasi ACL untuk server asal berdasarkan arsitektur jaringan yang berbeda.

    ACL yang dikonfigurasikan untuk server asal hanya berlaku ketika serangan mencapai tepi jaringan Alibaba Cloud tempat server asal berada. ACL membantu meredam volume kecil serangan banjir HTTP dan serangan web tetapi tidak efektif melawan serangan DDoS berbasis volume. Ketika serangan DDoS berbasis volume mencapai tepi jaringan Alibaba Cloud, volumenya jauh melampaui kemampuan mitigasi server asal. Serangan tersebut dapat memicu penyaringan blackhole pada server asal. Jika alamat IP server asal terpapar, segera ubah alamat IP server asal. Untuk informasi lebih lanjut, lihat Tangani Paparan Alamat IP Asal.

    Arsitektur Jaringan Situs Web Anda

    Deskripsi Konfigurasi ACL

    Anti-DDoS Proxy + Instance Elastic Compute Service (ECS)

    Server asal adalah instance ECS. Alamat IP kembali ke asal instance Anti-DDoS Proxy adalah alamat IP sumber permintaan yang diteruskan ke server asal.

    Kami menyarankan Anda mengonfigurasi ACL untuk server asal dengan menetapkan aturan grup keamanan instance ECS. Atur aturan grup keamanan untuk mengizinkan lalu lintas hanya dari alamat IP kembali ke asal dan menolak semua lalu lintas dari alamat IP lainnya guna melindungi server asal. Anda dapat memperoleh alamat IP kembali ke asal instance Anti-DDoS Proxy di Konsol Anti-DDoS Proxy. Untuk informasi lebih lanjut, lihat Izinkan Alamat IP Kembali ke Asal Mengakses Server Asal.

    Anti-DDoS Proxy + Server Asal yang Tidak Ditempatkan di Alibaba Cloud

    Server asal adalah instance ECS. Alamat IP kembali ke asal instance Anti-DDoS Proxy adalah alamat IP sumber permintaan yang diteruskan ke server asal.

    Kami menyarankan Anda mengonfigurasi ACL untuk server asal menggunakan perangkat lunak keamanan seperti iptables atau firewall yang diinstal pada server asal. Konfigurasikan ACL untuk mengizinkan lalu lintas hanya dari alamat IP kembali ke asal dan menolak semua lalu lintas dari alamat IP lainnya guna melindungi server asal.

    Anti-DDoS Proxy + Instance Server Load Balancer Lapisan 4 (SLB) + Instance ECS

    Server asal adalah instance ECS. Alamat IP kembali ke asal instance Anti-DDoS Proxy adalah alamat IP sumber permintaan yang diteruskan ke server asal.

    Kami menyarankan Anda menambahkan alamat IP kembali ke asal Anti-DDoS Proxy ke daftar putih instance SLB. Aktifkan kontrol akses untuk mengizinkan lalu lintas hanya dari alamat IP kembali ke asal guna melindungi server asal. Untuk informasi lebih lanjut, lihat Aktifkan Kontrol Akses.

    Anti-DDoS Proxy + Instance Application Load Balancer Lapisan 7 (ALB) + Instance ECS

    Server asal adalah instance ECS. Alamat IP kembali ke asal instance ALB adalah alamat IP sumber permintaan yang diteruskan ke server asal.

    Kami menyarankan Anda menambahkan alamat IP kembali ke asal instance Anti-DDoS Proxy ke daftar putih instance ALB. Aktifkan kontrol akses untuk mengizinkan lalu lintas hanya dari alamat IP kembali ke asal guna melindungi server asal. Untuk informasi lebih lanjut, lihat Kontrol Akses.

    Anti-DDoS Proxy + Web Application Firewall (WAF), Alibaba Cloud CDN (CDN), atau Dynamic Content Delivery Network (DCDN) + Instance ECS

    • (Direkomendasikan) Solusi 1: Aktifkan Fitur Mitigasi DDoS dan WAF pada DCDN

      • Jika terjadi serangan DDoS, lalu lintas layanan diteruskan ke Anti-DDoS Proxy, kemudian ke DCDN, dan akhirnya ke instance ECS.

      • Jika tidak ada serangan DDoS, lalu lintas layanan diteruskan ke DCDN dan kemudian ke instance ECS.

        Catatan

        • Solusi ini hanya tersedia untuk DCDN. Jika Anda menggunakan CDN, gunakan Solusi 2 atau migrasikan situs web Anda ke DCDN.

        • Kemampuan perlindungan WAF diintegrasikan ke dalam titik keberadaan DCDN. Lalu lintas layanan Anda tidak perlu diteruskan ke WAF.

    • Solusi 2: Gunakan Fitur Interaksi CDN atau DCDN untuk Mengizinkan Lalu Lintas Layanan Diteruskan ke WAF dan Kemudian ke Instance ECS

      • Jika terjadi serangan DDoS, lalu lintas layanan diteruskan ke Anti-DDoS Proxy, kemudian ke WAF, dan akhirnya ke instance ECS.

      • Jika tidak ada serangan DDoS, lalu lintas layanan diteruskan ke CDN, kemudian ke WAF, dan akhirnya ke instance ECS.

    Catatan

    Jika server asal Anda bukan instance ECS, arsitektur jaringannya sama.

    Solusi 1: Server asal adalah instance ECS. Alamat IP kembali ke asal DCDN adalah alamat IP sumber permintaan yang diteruskan ke server asal. Saat menggunakan DCDN, alamat IP instance ECS disembunyikan. Dalam sebagian besar kasus, Anda tidak perlu mengonfigurasi ACL. Jika Anda ingin mengonfigurasi ACL, hubungi Dukungan Teknis Alibaba Cloud.

    Solusi 2: Server asal adalah instance ECS. Alamat IP kembali ke asal WAF adalah alamat IP sumber permintaan yang diteruskan ke server asal.

    Kami menyarankan Anda mengonfigurasi ACL untuk instance ECS. Untuk informasi lebih lanjut, lihat Konfigurasikan Perlindungan untuk Server Asal.