配置ECS安全组只放行高防回源IP段__运维问题_产品常见问题_DDoS 高防IP-阿里云

本篇适合高防回源到ECS的场景，其他场景（如WAF、SLB等）可参考，原理是相同的。

一、为何建议只放行高防回源IP？

在业务切到高防上后，在源站上看到所有的正常请求都会是来自高防回源IP段的，但一旦源站IP暴露，或者是有恶意扫描行为试图找出真实源站的IP，就会有直接请求源站IP的访问。出于安全性的考虑，我们强烈建议您在ECS上只放行高防回源的IP段，也可以放行少量可信的IP地址方便日常测试，比如您办公网的出口IP、家里的IP等。

二、高防回源IP段有哪些？

非公开信息，请提交工单咨询。

三、如何设置ECS安全组？

首先进入ECS->安全组，选择对应的区域（安全组只能应用给相同区域下的ECS），点击创建安全组。

填写安全组名称、描述等，点击确定：

点击右边的配置规则进入规则编辑页面，选择公网入方向，添加安全组规则：

比如高防的回源IP段为1.1.1.0/24，则可按下面的示例添加：

授权对象一次可以添加一个IP或IP段，如果有多个，可以添加多个规则。优先级高的规则，会优先匹配。按照上面示例放行全部高防回源IP段后，再添加一条优先级较低的拒绝所有IP访问的规则：

配置好后，找到需要放行高防回源IP的ECS实例，在左边菜单中选择本示实例安全组，然后点击右上角的“加入安全组”，选择刚刚建好的安全组即可。