接入阿里云DDoS高防后如何设置源站保护

业务接入阿里云DDoS高防后，您应当尽量避免源站IP暴露，以防止攻击者绕过DDoS高防直接攻击源站。如果源站IP有暴露风险，建议您设置源站保护，例如只允许DDoS高防回源IP的入方向流量，提升业务可用性。本文介绍不同网络架构下源站保护的设置方法。

源站保护在服务器边缘生效，主要防御小流量CC攻击和Web攻击，对于防护大流量的DDoS攻击意义并不大。如果是大流量DDoS攻击，流量抵达服务器边缘时，其规模已远超服务器的处置能力，源站仍可能会被攻击进入黑洞。因此如果源站IP不慎暴露，仍建议您及时更换IP。

不同Web业务的网络架构的保护方案：

1、DDoS高防->阿里云ECS

该架构下，转发到源站的流量的来源IP为DDoS高防的回源IP。

建议您在源站ECS的安全组中设置源站保护策略，只放行DDoS高防的回源IP段，并拒绝其他所有来自非DDoS高防回源IP段的访问请求。您可以在DDoS高防控制台获取高防的回源IP段。

2、DDoS高防->非阿里云ECS源站服务器

该架构下，转发到源站的流量的来源IP为DDoS高防的回源IP。

建议您在源站服务器上的安全软件（例如iptables、防火墙等）中设置源站保护策略，只放行DDoS高防的回源IP段，并拒绝其他所有来自非DDoS高防回源IP段的访问请求，实现源站保护。

3、DDoS高防->负载均衡SLB（4层）->阿里云ECS

该架构下，转发到源站的流量的来源IP为DDoS高防的回源IP。

建议您在负载均衡SLB实例上设置源站保护策略，将DDoS高防的回源IP段添加到SLB的访问控制白名单中，并开启访问控制，实现只允许DDoS高防的回源IP访问SLB实例。

4、DDoS高防->负载均衡ALB（7层）->阿里云ECS

该架构下，转发到源站ECS的流量的来源IP为负载均衡ALB的回源IP。

建议您在负载均衡实例上设置源站保护策略，将DDoS高防的回源IP段添加到ALB的访问控制白名单中，并开启访问控制，实现只允许DDoS高防的回源IP访问ALB实例。

5、同时部署DDoS高防、WAF、CDN/DCDN、阿里云ECS。

（推荐）方案一：在DCDN上直接开启边缘DDoS、边缘WAF。

• 有DDoS攻击时：DDoS高防->DCDN->阿里云ECS
• 无DDoS攻击时：DCDN->阿里云ECS

说明

• 该方案仅DCDN支持，CDN不支持。CDN可以使用方案二或将业务迁移到DCDN。
• DCDN的边缘节点集成了WAF的防护能力，流量无需转发到WAF。

方案二：DDoS高防和CDN/DCDN联动，流量经WAF后再到源站ECS。

• 有DDoS攻击时：DDoS高防->WAF->阿里云ECS
• 无DDoS攻击时：CDN/DCDN->WAF->阿里云ECS