TCPを使用するポートベースのサービスなどのWebサイト以外のサービスをAnti-DDoS ProまたはAnti-DDoS Premiumに追加し、サービスのオリジンサーバーがElastic Compute service (ECS) インスタンスまたは仮想プライベートクラウド (VPC) の場合、サービストラフィックはオリジンサーバーに直接転送される可能性があります。 この場合、Anti-DDoS ProまたはAnti-DDoS Premiumはサービスを保護できず、リスクが発生する可能性があります。 リスクを防ぐために、次の操作を実行することを推奨します。
- オリジンサーバーとして使用されるECSインスタンスのセキュリティグループルールを設定します。 このルールでは、Anti-DDoS ProまたはAnti-DDoS Premiumインスタンスのback-to-origin CIDRブロックのみがECSインスタンスにアクセスでき、他のIPアドレスからのトラフィックは拒否されます。
Anti-DDoS ProまたはAnti-DDoS Premiumコンソールで、Anti-DDoS ProまたはAnti-DDoS Premiumインスタンスのback-to-origin CIDRブロックを取得できます。 詳細については、「back-to-origin IPアドレスによるオリジンサーバーへのアクセスの許可」をご参照ください。
- 内部ネットワークの出力IPアドレスなどのIPアドレスが信頼されており、そのIPアドレスを使用してECSインスタンスにアクセスする場合は、信頼されたIPアドレスからのトラフィックを許可するようにセキュリティグループルールを設定します。