阿里云
阿里云多端小程序中小企业获客首选
发表主题 回复主题
  • 1292阅读
  • 0回复

[云安全技术和产品专区 ]高防源站保护的具体步骤有哪些

级别: 论坛粉丝
发帖
2050
云币
4117
q}jf&xUWzH  
[backcolor=transparent]注意:配置源站保护,并不能够防止没有经过高防的流量对源站直接发起DDoS攻击(甚至将源站打进黑洞)。[backcolor=transparent][backcolor=transparent]配置高防源站保护的意义对于防护大规模DDoS攻击的意义并不大,只对于小流量CC攻击以及Web攻击有防护意义。 6D],275`J  
不同场景下高防源站保护的方式和原理不同。[backcolor=transparent]请参考以下场景,选择适合您当前架构的方式进行配置。 UL/>t}AG  
heWb(E&  
网站防护(七层转发 d\v _!7  
:$j~;)2  
M<"D!h9YP  
SxDE3A-:  
ECS或不在阿里的源站" class="reference-link" style="box-sizing: border-box; color: rgb(0, 193, 224); background: 0px 0px; transition: color 0.2s; font-weight: inherit;">高防IP -> ECS或不在阿里云的源站 c.fj[U|j  
abND#t  
 J{y@ O  
访问ECS、源站流量的源IP都会变成高防的回源IP,您可以使用源站上的安全软件,如iptables、防火墙等只放行高防的回源IP,同时拦截其他所有来非高防回源段的IP地址。 ~&x%;cnv_  
KJd;c.  
SLB -> ECS" class="reference-link" style="box-sizing: border-box; color: rgb(0, 193, 224); background: 0px 0px; transition: color 0.2s; font-weight: inherit;">高防IP -> SLB -> ECS X'c5s~9  
0`W~2ai  
AS7!FD6b  
访问ECS流量的IP变成SLB的IP。这种架构下,建议通过SLB的白名单功能来只允许高防IP访问SLB。关于如何设置SLB白名单,请参考白名单配置手册 HZT;7<  
&eg,*K}'  
WAF/CDN -> ECS" class="reference-link" style="box-sizing: border-box; color: rgb(0, 193, 224); background: 0px 0px; transition: color 0.2s; font-weight: inherit;">高防IP -> WAF/CDN -> ECS `Ao: }  
O v-I2  
sqw _c{9  
访问ECS流量的IP会变成WAF或者CDN的IP,原理和SLB相同。如有条件,可以在WAF、CDN配置相应策略,源站的策略则针对WAF或CDN的回源IP来配置。 "a: ;  
/Yh8r1^2tZ  
非网站防护(四层转发 4Z_.Jdu w  
SCjACQ}-  
\; 3r  
[backcolor=transparent]四层转发配置源站保护没有意义。即使配置源站保护,如果攻击绕过高防IP直接攻击源站,还是会将源站的上游链路堵死或者引发黑洞,无法起到源站保护的效果。 c|7Pnx%gT  
AKpux,@xB  
如何设置ECS安全组保护源站? ?o4&cCFOE  
/$n${M5!  
  1. 定位到 [backcolor=transparent]ECS > [backcolor=transparent]安全组,选择对应的区域(安全组只能应用于相同区域下的ECS),单击[backcolor=transparent]创建安全组。 C?O{l%0  
  2. 填写安全组名称、描述等信息,单击[backcolor=transparent]确定。 R9W(MLe58  
  3. 单击[backcolor=transparent]配置规则进入规则编辑页面,单击[backcolor=transparent]公网入方向,单击[backcolor=transparent]添加安全组规则。 |0&S>%=  
  4. aQ)9<LsI  
    假设高防IP服务的回源IP段为1.1.1.0/24,可按如下示例添加安全组规则。 ' 9,}N:p  
    • 授权对象一次可添加一个IP或IP段,如果有多个,可通过添加多个规则实现。
    • 优先级高的规则,会优先匹配。
  • 按照示例中放行全部高防回源IP段后,再添加一条优先级较低的规则拒绝所有IP访问。 "K8qmggTq  
  • 配置完安全组规则后,找到需要放行高防回源IP的ECS实例,选择本实例安全组,单击[backcolor=transparent]加入安全组,将ECS实例加入该安全组即可。
  • 发表主题 回复主题
    « 返回列表上一主题下一主题

    限100 字节
    批量上传需要先选择文件,再选择上传
     
    验证问题: ECS是阿里云提供的什么服务? 正确答案:云服务器
    上一个 下一个
        ×
        全新阿里云开发者社区, 去探索开发者的新世界吧!
        一站式的体验,更多的精彩!
        通过下面领域大门,一起探索新的技术世界吧~ (点击图标进入)