Anti-DDoS ProまたはAnti-DDoS Premiumを有効にすると、back-to-origin IPアドレスはAnti-DDoS ProまたはAnti-DDoS PremiumのIPアドレスになります。 そのため、オリジンサーバーのセキュリティソフトウェアとセキュリティグループのIPアドレスホワイトリストをアクセス制御用に設定する場合は、Anti-DDoS ProまたはAnti-DDoS Premiumのback-to-origin IPアドレスをホワイトリストに追加する必要があります。 これにより、Anti-DDoS ProまたはAnti-DDoS Premiumのback-to-origin IPアドレスからのトラフィックが、オリジンサーバー上のセキュリティソフトウェアまたはグループによってブロックされないようになります。 このトピックでは、back-to-origin IPアドレスがオリジンサーバーにアクセスできるようにする方法について説明します。
背景情報
Webサイトサービスを保護のためにAnti-DDoS ProまたはAnti-DDoS Premiumに追加すると、受信トラフィックはスクラブのためにAnti-DDoS ProまたはAnti-DDoS Premiumに再ルーティングされます。 次に、Anti-DDoS ProまたはAnti-DDoS Premiumは、サービストラフィックを配信元サーバーに転送します。 back-to-origin IPアドレスがセキュリティソフトウェアのホワイトリストに含まれていない場合、Anti-DDoS ProまたはAnti-DDoS Premiumからのトラフィックがブロックされる可能性があります。 その結果、Webサイトサービスにアクセスできなくなります。
Anti-DDoS ProとAnti-DDoS Premiumはリバースプロキシとして機能し、フルNATモードをサポートします。 Anti-DDoS ProまたはAnti-DDoS Premiumを使用する前に、オリジンサーバーはクライアントの分散IPアドレスからリクエストを受信します。 Webサイトサービスに対して攻撃が開始されない場合、各送信元IPアドレスは少数のリクエストを送信します。 Anti-DDoS ProまたはAnti-DDoS Premiumを使用すると、オリジンサーバーは限られた数のback-to-origin IPアドレスからすべてのリクエストを受信します。 各IPアドレスは、多数の要求を転送する。 その結果、back-to-origin IPアドレスは悪意のあるものと見なされる可能性があります。 他のDDoS軽減ポリシーがオリジンサーバーで構成されている場合、back-to-origin IPアドレスがブロックされるか、レート制限の対象となる可能性があります。
たとえば、最も一般的な502エラーは、オリジンサーバーがback-to-origin IPアドレスから転送されたリクエストに応答せず、back-to-origin IPアドレスがオリジンサーバーのファイアウォールによってブロックされる可能性があることを示します。
したがって、Webサイトサービスを保護するためにDNSレコードを変更する前に、Anti-DDoS ProまたはAnti-DDoS Premiumのback-to-origin IPアドレスをオリジンサーバーのセキュリティソフトウェアのホワイトリストに追加することをお勧めします。
手順
Anti-DDoS Proxyコンソールにログインします。
上部のナビゲーションバーで、インスタンスのリージョンを選択します。
Anti-DDoS Proxy (中国本土): インスタンスがAnti-DDoS Proxy (中国本土) インスタンスの場合、[中国本土] を選択します。
Anti-DDoS Proxy (Outside Chinese Mainland): インスタンスがAnti-DDoS Proxy (Outside Chinese Mainland) インスタンスの場合、[Outside Chinese Mainland] を選択します。
左側のナビゲーションウィンドウで、
を選択します。ドメイン接続 ページの右上隅にある Back-To-Source CIDR ブロックを表示 をクリックします。 表示されるダイアログボックスで、Anti-DDoS ProまたはAnti-DDoS Premiumのback-to-origin IPアドレスをコピーします。
オリジンサーバー上のセキュリティソフトウェアのホワイトリストにback-to-origin IPアドレスを追加します。