業務接入DDoS高防後,您應當盡量避免來源站點IP暴露,以防止攻擊者繞過DDoS高防直接攻擊來源站點。如果來源站點IP有暴露風險,建議您設定來源站點保護,例如只允許DDoS高防回源IP的入方向流量,提升業務可用性。本文介紹不同網路架構下來源站點保護的設定方法。
來源站點保護在伺服器邊緣生效,主要防禦小流量CC攻擊和Web攻擊,對於防護大流量的DDoS攻擊意義並不大。如果是大流量DDoS攻擊,流量抵達伺服器邊緣時,其規模已遠超伺服器的處置能力,來源站點仍可能會被攻擊進入黑洞。因此如果來源站點IP不慎暴露,仍建議您及時更換IP。詳細資料,請參見來源站點IP暴露的解決辦法。
Web業務的網路架構 | 來源站點保護設定說明 |
DDoS高防->阿里雲ECS | 該架構下,轉寄到來源站點的流量的來源IP為DDoS高防的回源IP。 建議您在來源站點ECS的安全性群組中設定來源站點保護原則,只允許存取DDoS高防的回源IP段,並拒絕其他所有來自非DDoS高防回源IP段的訪問請求。您可以在DDoS高防控制台擷取高防的回源IP段。詳細內容,請參見允許存取DDoS高防回源IP 。 |
DDoS高防->非阿里雲ECS來源站點伺服器 | 該架構下,轉寄到來源站點的流量的來源IP為DDoS高防的回源IP。 建議您在來源站點伺服器上的安全軟體(例如iptables、防火牆等)中設定來源站點保護原則,只允許存取DDoS高防的回源IP段,並拒絕其他所有來自非DDoS高防回源IP段的訪問請求,實現來源站點保護。 |
DDoS高防->Server Load Balancer(4層)->阿里雲ECS | 該架構下,轉寄到來源站點的流量的來源IP為DDoS高防的回源IP。 建議您在Server Load Balancer執行個體上設定來源站點保護原則,將DDoS高防的回源IP段添加到SLB的存取控制白名單中,並開啟存取控制,實現只允許DDoS高防的回源IP訪問SLB執行個體。更多資訊,請參見開啟存取控制。 |
DDoS高防->負載平衡ALB(7層)->阿里雲ECS | 該架構下,轉寄到來源站點ECS的流量的來源IP為負載平衡ALB的回源IP。 建議您在Server Load Balancer執行個體上設定來源站點保護原則,將DDoS高防的回源IP段添加到ALB的存取控制白名單中,並開啟存取控制,實現只允許DDoS高防的回源IP訪問ALB執行個體。更多資訊,請參見存取控制。 |
同時部署DDoS高防、WAF、CDN/DCDN、阿里雲ECS。
說明 來源站點非阿里雲ECS時,網路架構相同。 | 方案一:該架構下,轉寄到來源站點ECS的流量,來源IP為DCDN的回源IP。DCDN會隱藏來源站點ECS的IP,一般情況下您無需配置存取控制策略,如果您必須設定,請聯絡阿里雲支援人員。 方案二:該架構下,轉寄到來源站點ECS的流量,來源IP為WAF的回源IP。 建議您在來源站點ECS中設定相應的存取控制策略。更多資訊,請參見設定來源站點保護。 |