放行高防回源网段

详细解答可以参考官方帮助文档

注意：本文目的是为了避免源站将DDoS高防的回源IP拦截而影响业务，而不是源站保护（只允许经过DDoS高防的请求访问源站）。如果您想要配置源站保护，请参考高防源站保护。

为何要将回源IP段放行

DDoS高防作为一个反向代理，其中包含了一个Full NAT的架构。没有启用DDoS高防代理时，对于源站来说真实客户端的地址是非常分散的，且正常情况下每个源IP的请求量都不大。
启用DDoS高防代理后，由于高防回源的IP段固定且有限，对于源站来说所有的请求都是来自高防回源IP段，因此分摊到每个回源IP上的请求量会增大很多（可能被误认为回源IP在对源站进行攻击）。此时，如果源站有其它防御DDoS的安全策略，很可能对回源IP进行拦截或者限速。
例如，最常见的502错误，即表示高防IP转发请求到源站，但源站却没有响应（因为回源IP可能被源站的防火墙拦截）。

所以，在配置完转发规则后，我们强烈建议关闭源站上的防火墙和其他任何安全类的软件（如安全狗等），确保高防的回源IP不受源站安全策略的影响。

DDoS高防回源IP段

您可登录云盾DDoS高防IP管理控制台，定位到实例列表，单击高防回源IP段，查看详细的高防IP回源地址段。