[backcolor=transparent]注意:配置源站保护,并不能够防止没有经过高防的流量对源站直接发起DDoS攻击(甚至将源站打进黑洞)。[backcolor=transparent]
[backcolor=transparent]配置高防源站保护的意义对于防护大规模DDoS攻击的意义并不大,只对于小流量CC攻击以及Web攻击有防护意义。
不同场景下高防源站保护的方式和原理不同。[backcolor=transparent]请参考以下场景,选择适合您当前架构的方式进行配置。
网站防护(七层转发)
ECS或不在阿里云的源站" class="reference-link" style="box-sizing: border-box; color: rgb(0, 193, 224); background: 0px 0px; transition: color 0.2s; font-weight: inherit;">高防IP -> ECS或不在阿里云的源站
访问ECS、源站流量的源IP都会变成高防的
回源IP,您可以使用源站上的安全软件,如iptables、防火墙等只放行高防的回源IP,同时拦截其他所有来自非高防回源段的IP地址。
SLB -> ECS" class="reference-link" style="box-sizing: border-box; color: rgb(0, 193, 224); background: 0px 0px; transition: color 0.2s; font-weight: inherit;">高防IP -> SLB -> ECS
访问ECS流量的IP变成SLB的IP。这种架构下,建议通过SLB的白名单功能来只允许高防IP访问SLB。关于如何设置SLB白名单,请参考
白名单配置手册。
WAF/CDN -> ECS" class="reference-link" style="box-sizing: border-box; color: rgb(0, 193, 224); background: 0px 0px; transition: color 0.2s; font-weight: inherit;">高防IP -> WAF/CDN -> ECS
访问ECS流量的IP会变成WAF或者CDN的IP,原理和SLB相同。如有条件,可以在WAF、CDN配置相应策略,源站的策略则针对WAF或CDN的回源IP来配置。
非网站防护(四层转发)
[backcolor=transparent]
四层转发配置源站保护没有意义。即使配置源站保护,如果攻击绕过高防IP直接攻击源站,还是会将源站的上游链路堵死或者引发黑洞,无法起到源站保护的效果。
如何设置ECS安全组保护源站?
版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。