接入DDoS高防后如何设置源站保护

接入DDoS高防后如何设置源站保护

源站保护是DDoS高防（分布式拒绝服务DDoS防护服务）中的一种功能，它可以帮助企业防止DDoS攻击同时保证正常流量能访问源站，以保证服务质量。以下是在不同环境中设置源站保护的方法：

前端架构

1. 创建源站资源

为正常流量提供访问，首先需要创建一个源站资源。在前端架构中，主要使用域名或IP作为源站访问。例如，需要将一个域名解析到一个公网IP。注意，如果您选择使用IP作为源站地址，则应该将DNS解析指向DDoS高防服务，以避免高防节点的IP泄漏给互联网。

2. 配置源站保护

步骤1: 配置源站IP（公网IP或共享云服务器IP）

为了提供源站保护，需要在DDoS高防控制台中找到需要源站保护的IP并进行配置。

找到源站IP地址并点击添加IP白列表规则。

在添加IP白列表规则界面选择源站IP，并将白名单中勾选“所有流量”或“拒绝特定流量”，然后选择DDoS高防实例。同时，添加一个允许访问的白名单，可以限制只有特定类型的流量，如HTTP/HTTPS流量。

步骤2: 配置源站域名

要保护使用域名的源站，请在控制台添加域名。这同样需要针对您使用的服务器配置域名解析。将域名的A、CNAME、NS等记录解析到高防IP上。

同时，对于SSL证书配置，您需要创建一个SSL证书。在腾讯云CA认证管理中进行证书申请，并通过腾讯云SSL证书管理服务完成验证，获得证书并将HTTPS证书添加到源站服务器。

步骤3: 测试源站访问能力

在进行源站保护测试时，需要验证是否能正常访问源站，并确保不产生误判。在连接源站的过程中不断测试不同地域、时间段与规模的攻击，观察DDoS高防的状态报告，判断源站保护策略是否有效。

后端架构

1. 防火墙配置源站保护

将源站纳入防火墙，并配置相关策略。需要注意的是，这里需要将DDoS高防的IP加入访问白名单，以便允许所有流量。

2. L4/L3源站保护

后端架构通常使用TCP协议，可以配置源站保护，以支持TCP层过滤规则。

3. 容器化源站保护策略

在运行Docker等容器时，通过配置源站保护提高服务器的安全性。同时，可以通过监控告警系统监控和识别异常流量。

以下为腾讯云推荐的DDoS高防相关产品：

• 腾讯云DDoS防护方案提供全方位的源站保护，包括DDoS防护、CC攻击、Web入侵防御等解决方案，适用于各种场景需求。
• 针对大流量DDoS攻击，使用DDoS高防包提供源站保护，并针对不同类型、大小、地域的攻击提供多层次防护策略。
• 使用腾讯云WAF，为网站提供防爬虫、防DDoS等高级安全防护，并通过CDN加速，实现更高效的防护。