开发者社区> 问答> 正文

高防源站保护的具体步骤有哪些


[backcolor=transparent]注意:配置源站保护,并不能够防止没有经过高防的流量对源站直接发起DDoS攻击(甚至将源站打进黑洞)。[backcolor=transparent] [backcolor=transparent]配置高防源站保护的意义对于防护大规模DDoS攻击的意义并不大,只对于小流量CC攻击以及Web攻击有防护意义。
不同场景下高防源站保护的方式和原理不同。[backcolor=transparent]请参考以下场景,选择适合您当前架构的方式进行配置。

网站防护(七层转发



ECS或不在阿里云的源站" class="reference-link" style="box-sizing: border-box; color: rgb(0, 193, 224); background: 0px 0px; transition: color 0.2s; font-weight: inherit;">高防IP -> ECS或不在阿里云的源站


访问ECS、源站流量的源IP都会变成高防的 回源IP,您可以使用源站上的安全软件,如iptables、防火墙等只放行高防的回源IP,同时拦截其他所有来自非高防回源段的IP地址。

SLB -> ECS" class="reference-link" style="box-sizing: border-box; color: rgb(0, 193, 224); background: 0px 0px; transition: color 0.2s; font-weight: inherit;">高防IP -> SLB -> ECS


访问ECS流量的IP变成SLB的IP。这种架构下,建议通过SLB的白名单功能来只允许高防IP访问SLB。关于如何设置SLB白名单,请参考 白名单配置手册

WAF/CDN -> ECS" class="reference-link" style="box-sizing: border-box; color: rgb(0, 193, 224); background: 0px 0px; transition: color 0.2s; font-weight: inherit;">高防IP -> WAF/CDN -> ECS


访问ECS流量的IP会变成WAF或者CDN的IP,原理和SLB相同。如有条件,可以在WAF、CDN配置相应策略,源站的策略则针对WAF或CDN的回源IP来配置。

非网站防护(四层转发


[backcolor=transparent] 四层转发配置源站保护没有意义。即使配置源站保护,如果攻击绕过高防IP直接攻击源站,还是会将源站的上游链路堵死或者引发黑洞,无法起到源站保护的效果。

如何设置ECS安全组保护源站?

  1. 定位到 [backcolor=transparent]ECS > [backcolor=transparent]安全组,选择对应的区域(安全组只能应用于相同区域下的ECS),单击[backcolor=transparent]创建安全组。
  2. 填写安全组名称、描述等信息,单击[backcolor=transparent]确定。
  3. 单击[backcolor=transparent]配置规则进入规则编辑页面,单击[backcolor=transparent]公网入方向,单击[backcolor=transparent]添加安全组规则。

  4. 假设高防IP服务的回源IP段为1.1.1.0/24,可按如下示例添加安全组规则。
    • 授权对象一次可添加一个IP或IP段,如果有多个,可通过添加多个规则实现。
    • 优先级高的规则,会优先匹配。
  • 按照示例中放行全部高防回源IP段后,再添加一条优先级较低的规则拒绝所有IP访问。
  • 配置完安全组规则后,找到需要放行高防回源IP的ECS实例,选择本实例安全组,单击[backcolor=transparent]加入安全组,将ECS实例加入该安全组即可。
  • 展开
    收起
    云栖大讲堂 2017-10-20 14:52:16 2100 0
    0 条回答
    写回答
    取消 提交回答
    问答排行榜
    最热
    最新

    相关电子书

    更多
    SEO学习步骤 立即下载
    Terraform从入门到实践:快速构建你的第一张业务网络 立即下载
    优化4K制作流程,创建“4K视觉云”服务 立即下载