接入DDoS高防后如何设置源站保护

本文涉及的产品
访问控制,不限时长
简介: 接入DDoS高防后如何设置源站保护

业务接入DDoS高防后,您应当尽量避免源站IP暴露,以防止攻击者绕过DDoS高防直接攻击源站。如果源站IP有暴露风险,建议您设置源站保护,例如只允许DDoS高防回源IP的入方向流量,提升业务可用性。本文九河云介绍不同网络架构下源站保护的设置方法。


源站保护在服务器边缘生效,主要防御小流量CC攻击和Web攻击,对于防护大流量的DDoS攻击意义并不大。如果是大流量DDoS攻击,流量抵达服务器边缘时,其规模已远超服务器的处置能力,源站仍可能会被攻击进入黑洞。因此如果源站IP不慎暴露,仍建议您及时更换IP。

Web业务的网络架构

源站保护设置说明

DDoS高防->阿里云ECS

该架构下,转发到源站的流量的来源IP为DDoS高防的回源IP。

建议您在源站ECS的安全组中设置源站保护策略,只放行DDoS高防的回源IP段,并拒绝其他所有来自非DDoS高防回源IP段的访问请求。您可以在DDoS高防控制台获取高防的回源IP段。

DDoS高防->非阿里云ECS源站服务器

该架构下,转发到源站的流量的来源IP为DDoS高防的回源IP

建议您在源站服务器上的安全软件(例如iptables、防火墙等)中设置源站保护策略,只放行DDoS高防的回源IP段,并拒绝其他所有来自非DDoS高防回源IP段的访问请求,实现源站保护。

DDoS高防->负载均衡SLB(4层)->阿里云ECS

该架构下,转发到源站的流量的来源IP为DDoS高防的回源IP。

建议您在负载均衡SLB实例上设置源站保护策略,将DDoS高防的回源IP段添加到SLB的访问控制白名单中,并开启访问控制,实现只允许DDoS高防的回源IP访问SLB实例。

DDoS高防->负载均衡ALB(7层)->阿里云ECS

该架构下,转发到源站ECS的流量的来源IP为负载均衡ALB的回源IP。

建议您在负载均衡实例上设置源站保护策略,将DDoS高防的回源IP段添加到ALB的访问控制白名单中,并开启访问控制,实现只允许DDoS高防的回源IP访问ALB实例。

1729587808561.png

相关文章
|
2月前
|
人工智能 网络安全 双11
阿里云国际DDoS高防的定制场景策略
阿里云国际DDoS高防的定制场景策略
|
2月前
|
网络协议 网络安全
阿里云国际该如何设置DDoS高防防护策略?
阿里云国际该如何设置DDoS高防防护策略?
|
2月前
|
域名解析 安全 网络协议
阿里云国际配置DDoS高防(非中国内地)安全加速
阿里云国际配置DDoS高防(非中国内地)安全加速
|
2月前
|
域名解析 网络协议 网络安全
阿里云国际配置DDoS高防(非中国内地)加速线路
阿里云国际配置DDoS高防(非中国内地)加速线路
|
2月前
|
安全 网络协议 网络安全
阿里云国际放行DDoS高防回源IP
阿里云国际放行DDoS高防回源IP
|
2月前
|
网络协议 安全 网络安全
如何识别DDOS攻击模式?
【10月更文挑战第12天】如何识别DDOS攻击模式?
100 18
|
9天前
|
数据采集 边缘计算 安全
高防CDN防御ddos攻击的效果怎么样
如在线购物、支付及娱乐。然而,随着企业价值和知名度提升,它们可能遭受竞争对手或黑客的DDoS攻击,即通过大量僵尸网络使目标服务器过载,导致服务中断,造成经济损失和声誉损害。针对这一挑战,天下数据推出的高防CDN不仅具备传统CDN的加速功能,还能有效抵御DDoS攻击,保护企业网络安全。
31 0
|
2月前
|
监控 网络协议 网络安全
识别DDoS攻击
【10月更文挑战第12天】识别DDoS攻击
66 16
|
2月前
|
网络协议 安全 网络安全
DDoS攻击有哪些常见形式?
【10月更文挑战第13天】DDoS攻击有哪些常见形式?
183 14
|
2月前
|
安全 网络协议 网络安全
DDoS攻击的模式
【10月更文挑战第13天】DDoS攻击的模式
59 12