为网站启用DDoS高防服务时,为了避免DDoS高防的回源流量被源站服务器上的安全软件误拦截,建议您设置放行DDoS高防回源IP。

背景信息

注意 DDoS高防控制台在顶部导航栏新增地域切换菜单,方便您切换选择DDoS高防(新BGP)、DDoS高防(国际)服务。地域切换菜单支持中国大陆非中国大陆选项,您可以通过切换地域分别管理和配置DDoS高防(新BGP)和DDoS高防(国际)实例。在使用DDoS高防服务时,请确认您已选择正确的地域。地域切换

如果您的源站服务器上部署了非阿里云安全软件(例如防火墙),请将DDoS高防的回源IP地址加入安全软件的白名单。

注意 完成网站业务切换后,网站的正常访问流量经过DDoS高防实例清洗,并由DDoS高防回源IP地址转发至源站服务器。因此,如果DDoS高防的回源地址不在源站防火墙的白名单中,访问流量可能被错误拦截,导致网站无法访问。

网站成功接入DDoS高防后,所有网站访问请求将先流转到DDoS高防,经DDoS高防实例清洗后再返回到源站服务器。流量经DDoS高防实例返回源站的过程称为回源。

DDoS高防作为一个反向代理,其中包含了一个Full NAT的架构。反向代理

没有启用DDoS高防代理时,对于源站来说真实客户端的地址是非常分散的,且正常情况下每个源IP的请求量都不大。

启用DDoS高防代理后,由于高防回源的IP段固定且有限,对于源站来说所有的请求都是来自高防回源IP段,因此分摊到每个回源IP上的请求量会增大很多(可能被误认为回源IP在对源站进行攻击)。此时,如果源站有其它防御DDoS的安全策略,很可能对回源IP进行拦截或者限速。

例如,最常见的502错误,即表示高防IP转发请求到源站,但源站却没有响应(因为回源IP可能被源站的防火墙拦截)。502错误

所以,在配置完转发规则后,强烈建议您关闭源站上的防火墙和其他任何安全类软件(如安全狗等),确保高防的回源IP不受源站本身安全策略的影响;或者请参见以下操作步骤,在源站服务器的安全软件中设置放行DDoS高防的回源IP地址。同时,建议您参考高防源站保护通过安全组或白名单功能为您的源站配置保护措施。

操作步骤

  1. 登录云盾DDoS高防控制台
  2. 在顶部导航栏,选择服务地域:中国大陆非中国大陆
    • 中国大陆:DDoS高防(新BGP)服务
    • 非中国大陆:DDoS高防(国际)服务
    地域切换
  3. 在左侧导航栏,单击接入管理 > 域名接入
  4. 网站配置页面右上方,单击查看回源IP网段查看回源地址
  5. 回源地址对话框中,查看并复制DDoS高防的回源地址。回源地址
  6. 打开源站服务器上的安全软件,将复制的IP段添加到白名单。