609
步骤2:放行回源IP段__快速入门(非网站业务)_DDoS 高防IP-阿里云
先说一下为何要将回源IP段放行(或加白)。高防作为一个反向代理,其中包含了一个Full NAT的架构,其逻辑如下图所示:
没有高防代理时,在源站看来真实客户端地址是非常分散的,每个源IP的请求量都不大(正常情况下);经过高防后,因为高防回源的IP段固定且有限,在源站看来所有的请求都是来自高防回源IP段的,分摊到每个回源IP上的请求量会变大很多(看起来好像回源IP在对源站进行攻击),此时源站如果有防御DDoS的安全策略,很可能会将回源IP拦截或者限速。
如最常见的502错误,表示高防虽然转发请求到了源站,源站却没有响应(因为回源IP被防火墙拉黑了)。
所以在配置完转发后,我们强烈建议关闭源站上的防火墙和其他任何安全类的软件(如安全狗等),确保高防的回源IP不受源站安全策略的影响。
此外,为了进一步保护安全,可以在源站上配置只放行高防回源IP段以及少数您信任的IP地址(比如办公网出口、家庭地址等),其他的源地址全部封掉。以ECS安全组的配置为例,可以参考这里。
具体的高防IP地址段属于非公开信息,请购买了高防的用户提工单或者咨询钉钉/旺旺群中的工程师。
最后更新:2016-06-27 16:51:05
上一篇:
步骤1:配置四层转发__快速入门(非网站业务)_DDoS 高防IP-阿里云
下一篇: 步骤3:验证配置生效__快速入门(非网站业务)_DDoS 高防IP-阿里云
- Windows平台使用说明__官方迁移工具_常用工具_对象存储 OSS-阿里云
- 设置强制跳转__配置操作接口_API 手册_CDN-阿里云
- MergeShards__日志库相关接口_API-Reference_日志服务-阿里云
- StopLoadBalancerListener__Listener相关API_API 参考_负载均衡-阿里云
- 身份证识别__API介绍_文字识别_人工智能图像类-阿里云
- Sqoop__数据传输软件_开发人员指南_E-MapReduce-阿里云
- 使用金融云VPC__使用金融云产品_金融云-阿里云
- 服务认证失败__Ali-Tomcat 问题_开发常见问题_产品常见问题_企业级分布式应用服务 EDAS-阿里云
- 数据迁出__快速入门_云数据库 MongoDB 版-阿里云
- 实例系列和规格族__实例_产品简介_云服务器 ECS-阿里云
相关内容
- 常见错误说明__附录_大数据计算服务-阿里云
- 发送短信接口__API使用手册_短信服务-阿里云
- 接口文档__Android_安全组件教程_移动安全-阿里云
- 运营商错误码(联通)__常见问题_短信服务-阿里云
- 设置短信模板__使用手册_短信服务-阿里云
- OSS 权限问题及排查__常见错误及排除_最佳实践_对象存储 OSS-阿里云
- 消息通知__操作指南_批量计算-阿里云
- 设备端快速接入(MQTT)__快速开始_阿里云物联网套件-阿里云
- 查询API调用流量数据__API管理相关接口_API_API 网关-阿里云
- 使用STS访问__JavaScript-SDK_SDK 参考_对象存储 OSS-阿里云