业务接入DDoS高防后,您应当尽量避免源站IP暴露,以防止攻击者绕过DDoS高防直接攻击源站。如果源站IP有暴露风险,建议您设置源站保护,例如只允许DDoS高防回源IP的入方向流量,提升业务可用性。本文九河云介绍不同网络架构下源站保护的设置方法。
源站保护在服务器边缘生效,主要防御小流量CC攻击和Web攻击,对于防护大流量的DDoS攻击意义并不大。如果是大流量DDoS攻击,流量抵达服务器边缘时,其规模已远超服务器的处置能力,源站仍可能会被攻击进入黑洞。因此如果源站IP不慎暴露,仍建议您及时更换IP。
Web业务的网络架构 |
源站保护设置说明 |
DDoS高防->阿里云ECS |
该架构下,转发到源站的流量的来源IP为DDoS高防的回源IP。 建议您在源站ECS的安全组中设置源站保护策略,只放行DDoS高防的回源IP段,并拒绝其他所有来自非DDoS高防回源IP段的访问请求。您可以在DDoS高防控制台获取高防的回源IP段。 |
DDoS高防->非阿里云ECS源站服务器 |
该架构下,转发到源站的流量的来源IP为DDoS高防的回源IP。 建议您在源站服务器上的安全软件(例如iptables、防火墙等)中设置源站保护策略,只放行DDoS高防的回源IP段,并拒绝其他所有来自非DDoS高防回源IP段的访问请求,实现源站保护。 |
DDoS高防->负载均衡SLB(4层)->阿里云ECS |
该架构下,转发到源站的流量的来源IP为DDoS高防的回源IP。 建议您在负载均衡SLB实例上设置源站保护策略,将DDoS高防的回源IP段添加到SLB的访问控制白名单中,并开启访问控制,实现只允许DDoS高防的回源IP访问SLB实例。 |
DDoS高防->负载均衡ALB(7层)->阿里云ECS |
该架构下,转发到源站ECS的流量的来源IP为负载均衡ALB的回源IP。 建议您在负载均衡实例上设置源站保护策略,将DDoS高防的回源IP段添加到ALB的访问控制白名单中,并开启访问控制,实现只允许DDoS高防的回源IP访问ALB实例。 |
同时部署DDoS高防、WAF、CDN/DCDN、阿里云ECS。
说明 源站非阿里云ECS时,网络架构相同。 |
方案一:该架构下,转发到源站ECS的流量,来源IP为DCDN的回源IP。DCDN会隐藏源站ECS的IP,一般情况下您无需配置访问控制策略,如果您必须设置,请联系阿里云技术支持。 方案二:该架构下,转发到源站ECS的流量,来源IP为WAF的回源IP。 建议您在源站ECS中设置相应的访问控制策略。 |
