业务接入DDoS高防后,到达源站服务器的业务流量都由DDoS高防转发,这种情况下您可以设置源站的访问控制策略,例如只允许DDoS高防回源IP的入方向流量,达到保护源站的目的。不同接入场景下DDoS高防源站保护的设置方法不同,您可以根据本文介绍选择适合您当前网络架构的方法。

说明 设置源站保护主要针对小流量CC攻击和Web攻击有防护效果,对于防护大规模的DDoS攻击意义并不大。设置源站保护并不能防止没有经过DDoS高防的流量对源站直接发动DDoS攻击(甚至将源站打入黑洞)。
Web业务的网络架构 源站保护设置说明与方法
DDoS高防->阿里云ECS 转发到源站ECS的访问流量的来源IP为真实的请求来源IP,无需在源站ECS上设置源站保护。
警告 如果设置了源站保护,将导致DDoS高防实例转发到源站ECS的流量被源站保护策略拦截。
DDoS高防->非阿里云ECS源站服务器 转发到源站的访问流量的来源IP为DDoS高防的回源IP。

您可以设置源站服务器上的安全软件(例如iptables、防火墙等),只放行DDoS高防的回源IP段,并拒绝其他所有来自非DDoS高防回源IP段的访问请求,实现源站保护。

DDoS高防->负载均衡SLB->阿里云ECS 转发到源站ECS的访问流量的来源IP为真实的请求来源IP,无需在源站ECS上设置源站保护。

建议您在负载均衡SLB实例上设置源站保护策略,将DDoS高防的回源IP段添加到SLB的访问控制白名单中,并开启访问控制,实现只允许DDoS高防的回源IP访问SLB实例。更多信息请参见开启访问控制

DDoS高防->Web应用防火墙、阿里云CDN->阿里云ECS 转发到源站ECS的访问流量的来源IP为WAF或者CDN的回源IP。

建议您在WAF、CDN中设置相应的源站保护策略。更多信息请参见设置源站保护

DDoS高防->Web应用防火墙、阿里云CDN->非阿里云ECS源站服务器