高防源站保护的具体步骤有哪些

[backcolor=transparent]注意：配置源站保护，并不能够防止没有经过高防的流量对源站直接发起DDoS攻击（甚至将源站打进黑洞）。[backcolor=transparent] [backcolor=transparent]配置高防源站保护的意义对于防护大规模DDoS攻击的意义并不大，只对于小流量CC攻击以及Web攻击有防护意义。
不同场景下高防源站保护的方式和原理不同。[backcolor=transparent]请参考以下场景，选择适合您当前架构的方式进行配置。

网站防护（七层转发）



ECS或不在阿里云的源站" class="reference-link" style="box-sizing: border-box; color: rgb(0, 193, 224); background: 0px 0px; transition: color 0.2s; font-weight: inherit;">高防IP -> ECS或不在阿里云的源站


访问ECS、源站流量的源IP都会变成高防的 回源IP，您可以使用源站上的安全软件，如iptables、防火墙等只放行高防的回源IP，同时拦截其他所有来自非高防回源段的IP地址。

SLB -> ECS" class="reference-link" style="box-sizing: border-box; color: rgb(0, 193, 224); background: 0px 0px; transition: color 0.2s; font-weight: inherit;">高防IP -> SLB -> ECS


访问ECS流量的IP变成SLB的IP。这种架构下，建议通过SLB的白名单功能来只允许高防IP访问SLB。关于如何设置SLB白名单，请参考 白名单配置手册。

WAF/CDN -> ECS" class="reference-link" style="box-sizing: border-box; color: rgb(0, 193, 224); background: 0px 0px; transition: color 0.2s; font-weight: inherit;">高防IP -> WAF/CDN -> ECS


访问ECS流量的IP会变成WAF或者CDN的IP，原理和SLB相同。如有条件，可以在WAF、CDN配置相应策略，源站的策略则针对WAF或CDN的回源IP来配置。

非网站防护（四层转发）


[backcolor=transparent] 四层转发配置源站保护没有意义。即使配置源站保护，如果攻击绕过高防IP直接攻击源站，还是会将源站的上游链路堵死或者引发黑洞，无法起到源站保护的效果。

如何设置ECS安全组保护源站？

1. 定位到 [backcolor=transparent]ECS > [backcolor=transparent]安全组，选择对应的区域（安全组只能应用于相同区域下的ECS），单击[backcolor=transparent]创建安全组。
   
2. 填写安全组名称、描述等信息，单击[backcolor=transparent]确定。
   
3. 单击[backcolor=transparent]配置规则进入规则编辑页面，单击[backcolor=transparent]公网入方向，单击[backcolor=transparent]添加安全组规则。
   
4. 
   假设高防IP服务的回源IP段为1.1.1.0/24，可按如下示例添加安全组规则。
   
   • 授权对象一次可添加一个IP或IP段，如果有多个，可通过添加多个规则实现。
   • 优先级高的规则，会优先匹配。

按照示例中放行全部高防回源IP段后，再添加一条优先级较低的规则拒绝所有IP访问。