背景

DDoS攻击和Web网络攻击是网络攻击的核心，这里整理出源站(实际运行业务的站点)在IDC和在云上的最佳方案，供用户参考。

源站在IDC

源站在IDC， 由于不能使用腾讯云的高防包、CLB WAF旁路资源，所以有两种方式。

1、使用高防IP + SaaS WAF。

2、使用高防包 + SaaS WAF，高防包绑定到WAF。

高防包和高防IP可以使用智能调度，防止其中一个被封禁后无法访问。

架构图如下

源站在云上

源站在云上，可以使用CLB WAF和高防包，高防包+CLB WAF都是高可用部署，但如果出现极端情况，旁路模式不影响业务。

架构图如下

以上两个方案特点：

• 最短链路，尽可能降低转发带来的隐患，提高问题排查效率
• 高防IP+高防包智能调度，可靠性更高
• 高防IP和高防包推荐使用智能调度防止被封禁后影响业务
• 四层和七层分别通过TOA和XFF获取客户端真实IP

以上推荐功能，可以根据自身需求增加或减少适配的产品。