一、源站访问控制描述
源站访问控制是在源服务器上设置访问控制,只允许云防御IP访问,云防御和源站联动提高防护安全性的方法。
接入知道创宇云防御平台后,经过云防御的攻击知道创宇均会按防御级别拦截,但因源站 IP 在接入前已经暴露过,存在攻击者已经获取到源站 IP 可直接攻击源服务器的风险。因此知道创宇建议如有条件可在接入云防御后将源站服务器 IP 更换为未暴露过的地址,如果不具备变更源站 IP 条件,建议尽量设置访问控制,即仅允许云防御集群 IP 访问源站,最大程度保障源服务器的安全。
二、获取云防御集群IP
知道创宇云防御共有6242个节点集群,每个集群背后均有多台服务器作为支撑,根据节点性能负载情况,知道创宇云防御会不定期为您选择最优节点集群。获取云防御集群IP时可登录云防御控制台,点击购买的产品,下拉框中点击【功能管理】,选择【通用设置】,进入【查看节点IP】中获取。
三、配置指导
1. 登录阿里云控制台。
2. 如下图选择【ECS】->【安全组】->【安全组列表】,点击对应安全组的【配置规则】。
3. 点击【快速添加】或【手动添加】。
3.1. 【快速添加】配置方法。
3.2. 【手动添加】配置方法。
4. 添加完成后,需要删除默认的“全部允许”规则(参考下图中的示例)。注意,非HTTP协议的端口建议按照原始配置,特别是22、3389等远程控制端口。
注意事项:
1. 需保障配置访问控制的服务器域名全部接入知道创宇防护体系。
2. 如遇特殊情况需回源验证,需要将安全组中 0.0.0.0 放行规则添加并生效后再设置回源。
3. 如有需要直连服务器的接口调用或程序员测试,也需将 IP添加到安全组的白名单中。
4. ACL 策略只能拦截应用层请求,若源站 IP 已经暴露,网络层面 DDoS 攻击还有直接攻击源站的风险,最好采用更换对外 IP 的方法。
5.验证策略是否生效:即仅Allow的IP地址(云防御节点)可请求成功,其他IP地址均连接超时。
a.修改本地Host文件,指定域名解析到源站IP。
b.访问该域名时若出现以下报错则策略生效,若可正常访问网站则策略有误,建议核实配置情况。
四、其他服务器
1.常见服务器设置方法可参考:【IIS】、【Nginx】、【Apache】、【Iptables】、【Tomcat】、【腾讯云】。
2.除上述WEB 服务器和防火墙的其他设备建议参考厂商官方指导配置或联系厂商技术支持协助。