如果您的源站服务器上部署了非阿里云安全软件,网站的正常访问流量经过DDoS高防实例清洗,并由DDoS高防回源IP地址转发至源站服务器,请将DDoS高防的回源IP地址加入安全软件的白名单。否者可能被错误拦截,导致网站无法访问。
阿里云DDoS高防作为一个反向代理,其中包含了一个Full NAT的架构。
没有启用DDoS高防代理时,对于源站来说真实客户端的地址是非常分散的,且正常情况下每个源IP的请求量都不大。
启用DDoS高防代理后,由于高防回源的IP段固定且有限,对于源站来说所有的请求都是来自高防回源IP段,因此分摊到每个回源IP上的请求量会增大很多(可能被误认为回源IP在对源站进行攻击)。此时,如果源站有其它防御DDoS的安全策略,很可能对回源IP进行拦截或者限速。
例如:最常见的502错误,即表示高防IP转发请求到源站,但源站却没有响应(因为回源IP可能被源站的防火墙拦截)。
所以,在配置完转发规则后,强烈建议您关闭源站上的防火墙和其他任何安全类软件(如安全狗等),确保高防的回源IP不受源站本身安全策略的影响。或者请参见以下操作步骤,在源站服务器的安全软件中设置放行DDoS高防的回源IP地址。
1、登录阿里云DDoS高防控制台。
2、在顶部导航栏,选择服务所在地域:
中国内地:DDoS高防(新BGP)服务
非中国内地:DDoS高防(国际)服务
3、在左侧导航栏,单击接入管理 >> 域名接入。
4、在域名接入页面右上方,单击查看回源IP网段。
5、在回源IP网段对话框中,查看并复制DDoS高防的回源地址。
打开源站服务器上的安全软件,将复制的回源地址添加到白名单。
扫码赞赏,鼓励支持
相关问题
网站被反诈中心DNS劫持为127.0.0.1或0.0.0.0如何解决?阿里云服务器迁移到另一个账号实现过户宝塔Windows面板安装教程(图文)IE 浏览器提示增强的安全配置已启用的解决方法阿里云域名转移到另外一个账号Windows系统如何禁止IPv6网络