479      阿里云

步骤3：放行回源IP段__快速入门（网站业务）_DDoS 高防IP-阿里云

先说一下为何要将回源IP段放行（或加白）。高防作为一个反向代理，其中包含了一个Full NAT的架构，其逻辑如下图所示：

没有高防代理时，在源站看来真实客户端地址是非常分散的，每个源IP的请求量都不大（正常情况下）；经过高防后，因为高防回源的IP段固定且有限，在源站看来所有的请求都是来自高防回源IP段的，分摊到每个回源IP上的请求量会变大很多（看起来好像回源IP在对源站进行攻击），此时源站如果有防御DDoS的安全策略，很可能会将回源IP拦截或者限速。

如最常见的502错误，表示高防虽然转发请求到了源站，源站却没有响应（因为回源IP被防火墙拉黑了）。

所以在配置完转发后，我们强烈建议关闭源站上的防火墙和其他任何安全类的软件（如安全狗等），确保高防的回源IP不受源站安全策略的影响。

此外，为了进一步保护安全，可以在源站上配置只放行高防回源IP段以及少数您信任的IP地址（比如办公网出口、家庭地址等），其他的源地址全部封掉。以ECS安全组的配置为例，可以参考这里。

具体的高防IP回源地址段在高防控制台中有提供：

最后更新：2016-08-18 13:22:45

  上一篇： 步骤2：https网站接入__快速入门（网站业务）_DDoS 高防IP-阿里云

  下一篇： 步骤4：验证配置生效__快速入门（网站业务）_DDoS 高防IP-阿里云