如果源站服务器上设置了IP白名单访问控制(如安全软件、安全组),由于设置了DDoS高防后,回源IP是高防回源IP段,您需要将DDoS高防的回源IP段的地址加入安全软件和安全组的白名单中,避免DDoS高防的回源流量被误拦截。本文九河云介绍如何放行DDoS高防回源IP。
背景信息
警告
业务接入DDoS高防进行防护后,正常访问流量将会经过DDoS高防实例清洗,并由DDoS高防回源IP地址转发至源站服务器。因此,如果DDoS高防的回源地址不在源站安全软件的白名单中,访问流量可能被错误拦截,导致业务无法访问。
DDoS高防作为一个反向代理,其中包含了一个Full NAT的架构。没有使用DDoS高防代理时,对于源站来说真实客户端的地址非常分散,且正常情况下每个源IP的请求量都不大。使用DDoS高防代理后,由于高防回源的IP段固定且有限,对于源站来说所有的请求都来自高防回源IP段,且分摊到每个回源IP上的请求量会增大很多,这种情况可能会被误认为回源IP在攻击源站。如果源站有其他防御DDoS攻击的安全策略,很可能对回源IP的请求进行拦截或者限速。
例如,最常见的502错误,即表示DDoS高防转发请求到源站,但源站却没有响应,因为回源IP可能被源站的防火墙拦截。
所以,在修改DNS解析接入网站业务前,请在源站服务器的安全软件中放行DDoS高防的回源IP地址。
操作步骤
- 登录DDoS高防控制台。
- 在顶部菜单栏左上角处,选择地域。
- DDoS高防(中国内地):选择中国内地地域。
- DDoS高防(非中国内地):选择非中国内地地域。
- 在左侧导航栏,选择接入管理 > 域名接入。
- 在域名接入页面的右上方,单击查看回源IP网段,复制DDoS高防的回源IP网段。
- 打开源站服务器上的安全软件,将回源IP网段添加到白名单。
