阿里云国际放行DDoS高防回源IP

如果源站服务器上设置了IP白名单访问控制（如安全软件、安全组），由于设置了DDoS高防后，回源IP是高防回源IP段，您需要将DDoS高防的回源IP段的地址加入安全软件和安全组的白名单中，避免DDoS高防的回源流量被误拦截。本文九河云介绍如何放行DDoS高防回源IP。

背景信息

警告

业务接入DDoS高防进行防护后，正常访问流量将会经过DDoS高防实例清洗，并由DDoS高防回源IP地址转发至源站服务器。因此，如果DDoS高防的回源地址不在源站安全软件的白名单中，访问流量可能被错误拦截，导致业务无法访问。

DDoS高防作为一个反向代理，其中包含了一个Full NAT的架构。没有使用DDoS高防代理时，对于源站来说真实客户端的地址非常分散，且正常情况下每个源IP的请求量都不大。使用DDoS高防代理后，由于高防回源的IP段固定且有限，对于源站来说所有的请求都来自高防回源IP段，且分摊到每个回源IP上的请求量会增大很多，这种情况可能会被误认为回源IP在攻击源站。如果源站有其他防御DDoS攻击的安全策略，很可能对回源IP的请求进行拦截或者限速。

例如，最常见的502错误，即表示DDoS高防转发请求到源站，但源站却没有响应，因为回源IP可能被源站的防火墙拦截。

所以，在修改DNS解析接入网站业务前，请在源站服务器的安全软件中放行DDoS高防的回源IP地址。

操作步骤

1. 登录DDoS高防控制台。

2. 在顶部菜单栏左上角处，选择地域。

   • DDoS高防（中国内地）：选择中国内地地域。

   • DDoS高防（非中国内地）：选择非中国内地地域。

3. 在左侧导航栏，选择接入管理 > 域名接入。

4. 在域名接入页面的右上方，单击查看回源IP网段，复制DDoS高防的回源IP网段。

5. 打开源站服务器上的安全软件，将回源IP网段添加到白名单。