DDoS 防护：放行DDoS高防回源IP

为网站启用DDoS高防服务时，为了避免DDoS高防的回源流量被源站服务器上的安全软件误拦截，建议您设置放行DDoS高防回源IP。

背景信息

如果您的源站服务器上部署了非阿里云安全软件（例如防火墙），请将DDoS高防的回源IP地址加入安全软件的白名单。

注意 完成网站业务切换后，网站的正常访问流量经过DDoS高防实例清洗，并由DDoS高防回源IP地址转发至源站服务器。因此，如果DDoS高防的回源地址不在源站防火墙的白名单中，访问流量可能被错误拦截，导致网站无法访问。

网站成功接入DDoS高防后，所有网站访问请求将先流转到DDoS高防，经DDoS高防实例清洗后再返回到源站服务器。流量经DDoS高防实例返回源站的过程称为回源。

DDoS高防作为一个反向代理，其中包含了一个Full NAT的架构。

没有启用DDoS高防代理时，对于源站来说真实客户端的地址是非常分散的，且正常情况下每个源IP的请求量都不大。

启用DDoS高防代理后，由于高防回源的IP段固定且有限，对于源站来说所有的请求都是来自高防回源IP段，因此分摊到每个回源IP上的请求量会增大很多（可能被误认为回源IP在对源站进行攻击）。此时，如果源站有其它防御DDoS的安全策略，很可能对回源IP进行拦截或者限速。

例如，最常见的502错误，即表示高防IP转发请求到源站，但源站却没有响应（因为回源IP可能被源站的防火墙拦截）。

所以，在配置完转发规则后，强烈建议您关闭源站上的防火墙和其他任何安全类软件（如安全狗等），确保高防的回源IP不受源站本身安全策略的影响。或者请参见以下操作步骤，在源站服务器的安全软件中设置放行DDoS高防的回源IP地址。

1. 登录DDoS高防控制台。
2. 在顶部导航栏，选择服务所在地域：
   • 中国内地：DDoS高防（新BGP）服务
   • 非中国内地：DDoS高防（国际）服务
3. 在左侧导航栏，单击接入管理 > 域名接入。
4. 在域名接入页面右上方，单击查看回源IP网段。
5. 在回源IP网段对话框中，查看并复制DDoS高防的回源地址。
6. 打开源站服务器上的安全软件，将复制的回源地址添加到白名单。