网站已接入Web应用防火墙(Web Application Firewall,简称WAF)进行安全防护后,您可以通过设置源站服务器的访问控制策略,只放行WAF回源IP段,防止黑客获取您的源站IP后绕过WAF直接攻击源站。
本章节介绍了源站服务器部署在华为云弹性云服务器(以下简称ECS)或华为云弹性负载均衡(以下简称ELB)时,如何判断源站存在泄漏风险,以及如何配置访问控制策略保护源站安全。
网站已接入WAF进行安全防护后,无论您是否配置源站保护,都不影响正常业务的转发。没有配置源站保护可能导致攻击者在源站IP暴露的情况下,绕过WAF直接攻击您的源站。
您可以在非华为云环境直接使用Telnet工具连接源站公网IP地址的业务端口(或者直接在浏览器中输入访问Web应用的IP),查看是否建立连接成功。
例如,测试已接入WAF防护的源站IP对外开放的443端口是否能成功建立连接,显示如图1所示类似信息,说明端口可连通,表示该源站存在泄露风险。
回源IP是WAF用来代理客户端请求服务器时用的源IP,在服务器看来,接入WAF后所有源IP都会变成WAF的回源IP,而真实的客户端地址会被加在HTTP头部的XFF字段中。有关回源IP地址的详细介绍,请参见如何放行回源IP段?。
Web应用防火墙的回源IP网段会定期更新,及时将更新后的回源IP网段添加至相应的安全组规则中,避免出现误拦截。
如果您的源站服务器直接部署在华为云ECS上,请参考以下操作步骤设置安全组规则,只放行WAF回源IP段。
请确保所有WAF回源IP段都已通过源站ECS的安全组规则设置了入方向的允许策略,否则可能导致网站访问异常。
参数 |
配置说明 |
---|---|
协议端口 |
安全组规则作用的协议和端口。选择“自定义TCP”后,在TCP框下方输入源站的端口。 |
源地址 |
逐一添加步骤 6中复制的所有WAF回源IP段。 说明:
一条规则配置一个IP。单击“增加1条规则”,可配置多条规则,最多支持添加10条规则。 |
成功添加安全组规则后,安全组规则将允许WAF回源IP段的所有入方向流量。
您可以参考如何判断源站存在泄露风险,通过测试已接入WAF防护的源站IP对应的业务端口是否能成功建立连接验证配置是否生效。如果显示端口无法直接连通,但网站业务仍可正常访问,则表示源站保护配置成功。
如果您的源站服务器直接部署在华为云ELB上,请参考以下操作步骤设置访问控制(白名单)策略,只放行WAF回源IP段。
单击“创建IP地址组”, 您可以将所有WAF回源IP地址添加到IP地址组中。
您可以参考如何判断源站存在泄露风险,通过测试已接入WAF防护的源站IP对应的业务端口是否能成功建立连接验证配置是否生效。如果显示端口无法直接连通,但网站业务仍可正常访问,则表示源站保护配置成功。
哥,被喊大舅子的感觉怎么样啊?三妹不怀好意地对我说,她眼睛里充满着不屑。 说...
作者 | Anycodes 众所周知 随着时间的发展 Serverless 命令行工具也逐渐的玩出了...
TOP云 (west.cn)4月11日消息,昨天继新顶级 域名 .AUTO和.LINK通过工信部资质...
大数据的演进带来了新的挑战,所以需要新的解决方案。与以往一样,服务器需要实...
CDN服务软件开发工具包(CDN SDK,Content Delivery Network Software Developme...
通用接口 接口名 Action 功能描述 查询负载均衡异步接口的执行结果 DescribeLoad...
1. 接口描述 接口请求域名: cvm.tencentcloudapi.com 。 本接口(DescribeImage...
阿里巴巴开源大数据技术团队成立阿里云EMR技术圈, 每周推送前沿技术文章,直播...
作者 | fanux.中弈 来源 | 阿里巴巴云原生公众号 什么是集群镜像 ? 顾名思义,和...
ALIYUN::PVTZ::Zone 用于创建private zone。 语法 { "Type": "ALIYUN::PVTZ::Zon...