如果來源站點伺服器上設定了IP白名單存取控制(如安全軟體、安全性群組),由於設定了DDoS高防後,回源IP是高防回源IP段,您需要將DDoS高防的回源IP段的地址加入安全軟體和安全性群組的白名單中,避免DDoS高防的回源流量被誤攔截。本文介紹如何允許存取DDoS高防回源IP。
背景資訊
業務接入DDoS高防進行防護後,正常訪問流量將會經過DDoS高防執行個體清洗,並由DDoS高防回源IP地址轉寄至來源站點伺服器。因此,如果DDoS高防的回源地址不在來源站點安全軟體的白名單中,訪問流量可能被錯誤攔截,導致業務無法訪問。
DDoS高防作為一個反向 Proxy,其中包含了一個Full NAT的架構。沒有使用DDoS高防代理時,對於來源站點來說真實用戶端的地址非常分散,且正常情況下每個源IP的請求量都不大。使用DDoS高防代理後,由於高防回源的IP段固定且有限,對於來源站點來說所有的請求都來自高防回源IP段,且分攤到每個回源IP上的請求量會增大很多,這種情況可能會被誤認為回源IP在攻擊來源站點。如果來源站點有其他防禦DDoS攻擊的安全性原則,很可能對回源IP的請求進行攔截或者限速。
例如,最常見的502錯誤,即表示DDoS高防轉寄請求到來源站點,但來源站點卻沒有響應,因為回源IP可能被來源站點的防火牆攔截。
所以,在修改DNS解析接入網站業務前,請在來源站點伺服器的安全軟體中允許存取DDoS高防的回源IP地址。
操作步驟
登入DDoS高防控制台。
在頂部功能表列左上方處,選擇地區。
DDoS高防(中國內地):選擇中國內地地區。
DDoS高防(非中國內地):選擇非中國內地地區。
在左側導覽列,選擇。
在網域名稱接入頁面的右上方,單擊查看回源IP網段,複製DDoS高防的回源IP網段。
開啟來源站點伺服器上的安全軟體,將回源IP網段添加到白名單。
相關文檔
配置後可能出現的問題: