配置ECS安全組隻放行高防回源IP段__運維問題_產品常見問題_DDoS 高防IP-阿裏雲

本篇適合高防回源到ECS的場景，其他場景（如WAF、SLB等）可參考，原理是相同的。

一、為何建議隻放行高防回源IP？

在業務切到高防上後，在源站上看到所有的正常請求都會是來自高防回源IP段的，但一旦源站IP暴露，或者是有惡意掃描行為試圖找出真實源站的IP，就會有直接請求源站IP的訪問。出於安全性的考慮，我們強烈建議您在ECS上隻放行高防回源的IP段，也可以放行少量可信的IP地址方便日常測試，比如您辦公網的出口IP、家裏的IP等。

二、高防回源IP段有哪些？

非公開信息，請提交工單谘詢。

三、如何設置ECS安全組？

首先進入ECS->安全組，選擇對應的區域（安全組隻能應用給相同區域下的ECS），點擊創建安全組。

填寫安全組名稱、描述等，點擊確定：

點擊右邊的配置規則進入規則編輯頁麵，選擇公網入方向，添加安全組規則：

比如高防的回源IP段為1.1.1.0/24，則可按下麵的示例添加：

授權對象一次可以添加一個IP或IP段，如果有多個，可以添加多個規則。優先級高的規則，會優先匹配。按照上麵示例放行全部高防回源IP段後，再添加一條優先級較低的拒絕所有IP訪問的規則：

配置好後，找到需要放行高防回源IP的ECS實例，在左邊菜單中選擇本示實例安全組，然後點擊右上角的“加入安全組”，選擇剛剛建好的安全組即可。