479      魔獸

步驟3：放行回源IP段__快速入門（網站業務）_DDoS 高防IP-阿裏雲

先說一下為何要將回源IP段放行（或加白）。高防作為一個反向代理，其中包含了一個Full NAT的架構，其邏輯如下圖所示：

沒有高防代理時，在源站看來真實客戶端地址是非常分散的，每個源IP的請求量都不大（正常情況下）；經過高防後，因為高防回源的IP段固定且有限，在源站看來所有的請求都是來自高防回源IP段的，分攤到每個回源IP上的請求量會變大很多（看起來好像回源IP在對源站進行攻擊），此時源站如果有防禦DDoS的安全策略，很可能會將回源IP攔截或者限速。

如最常見的502錯誤，表示高防雖然轉發請求到了源站，源站卻沒有響應（因為回源IP被防火牆拉黑了）。

所以在配置完轉發後，我們強烈建議關閉源站上的防火牆和其他任何安全類的軟件（如安全狗等），確保高防的回源IP不受源站安全策略的影響。

此外，為了進一步保護安全，可以在源站上配置隻放行高防回源IP段以及少數您信任的IP地址（比如辦公網出口、家庭地址等），其他的源地址全部封掉。以ECS安全組的配置為例，可以參考這裏。

具體的高防IP回源地址段在高防控製台中有提供：

最後更新：2016-08-18 13:22:45

  上一篇： 步驟2：https網站接入__快速入門（網站業務）_DDoS 高防IP-阿裏雲

  下一篇： 步驟4：驗證配置生效__快速入門（網站業務）_DDoS 高防IP-阿裏雲