通过配置ecs/elb访问控制策略保护源站安全-凯发k8国际娱乐官网入口
网站已接入web应用防火墙(web application firewall,简称waf)进行安全防护后,您可以通过设置源站服务器的访问控制策略,只放行waf回源ip段,防止黑客获取您的源站ip后绕过waf直接攻击源站。
本章节介绍了源站服务器部署在华为云弹性云服务器(以下简称ecs)时或华为云弹性负载均衡(以下简称elb)后面时,如何判断源站存在泄漏风险,以及如何配置访问控制策略保护源站安全。
- 网站已接入waf进行安全防护后,无论您是否配置源站保护,都不影响正常业务的转发。没有配置源站保护可能导致攻击者在源站ip暴露的情况下,绕过waf直接攻击您的源站。
- 如果在ecs前使用了nat网关做转发,也需要设置ecs入方向规则在ecs的安全组配置只允许放行waf的回源ip地址段,保护源站安全。
操作须知
- 在配置源站保护前,请确保该ecs或elb实例上的所有网站域名都已经接入waf,保证网站能正常访问。
- 配置安全组存在一定风险,避免出现以下问题:
- 您的网站设置了bypass回源,但未取消安全组和网络acl等配置,这种情况下,可能会导致源站无法从公网访问。
- 当waf有新增的回源网段时,如果源站已配置安全组防护,可能会导致频繁出现5xx错误。
如何判断源站存在泄露风险
您可以在非华为云环境直接使用telnet工具连接源站公网ip地址的业务端口(或者直接在浏览器中输入访问web应用的ip),查看是否建立连接成功。
- 如果可以连通
表示源站存在泄露风险,一旦黑客获取到源站公网ip就可以绕过waf直接访问。
- 如果无法连通
表示当前不存在源站泄露风险。
例如,测试已接入waf防护的源站ip对外开放的443端口是否能成功建立连接,显示如图1所示类似信息,说明端口可连通,表示该源站存在泄露风险。
获取waf回源ip地址
回源ip是waf用来代理客户端请求服务器时用的源ip,在服务器看来,接入waf后所有源ip都会变成waf的回源ip,而真实的客户端地址会被加在http头部的xff字段中。有关回源ip地址的详细介绍,请参见如何放行回源ip段?。
- 。
- 单击管理控制台左上角的,选择区域或项目。
- 单击页面左上方的,选择 。
- 在左侧导航树中,选择“网站设置”,进入“网站设置”页面。
- 在网站列表右侧上方,单击“web应用防火墙回源ip网段”,查看web应用防火墙所有回源ip段。
web应用防火墙的回源ip网段会定期更新,及时将更新后的回源ip网段添加至相应的安全组规则中,避免出现误拦截。
- 在“web应用防火墙的回源ip网段”对话框,单击“复制ip段”,复制所有回源ip。
图2 web应用防火墙的回源ip网段
设置ecs入方向规则
如果您的源站服务器直接部署在华为云ecs上,请参考以下操作步骤设置安全组规则,只放行waf回源ip段。
请确保所有waf回源ip段都已通过源站ecs的安全组规则设置了入方向的允许策略,否则可能导致网站访问异常。
- 。
- 单击管理控制台左上角的,选择区域或项目。
- 单击页面左上方的,选择 。
- 在目标ecs所在行的“名称/id”列中,单击目标ecs实例名称,进入ecs实例的详情页面。
- 选择“安全组”页签,单击“更改安全组”。
- 单击安全组id,进入安全组基本信息页面。
- 选择“入方向规则”页签,单击“添加规则”,进入“添加入方向规则”页面,参数配置说明如表1所示。
图3 添加入方向规则
表1 入方向规则参数配置说明 参数
配置说明
协议端口
安全组规则作用的协议和端口。选择“自定义tcp”后,在tcp框下方输入源站的端口。
源地址
逐一添加步骤 6中复制的所有waf回源ip段。
说明:一条规则配置一个ip。单击“增加1条规则”,可配置多条规则,最多支持添加10条规则。
- 单击“确定”,安全组规则添加完成。
成功添加安全组规则后,安全组规则将允许waf回源ip段的所有入方向流量。
您可以参考如何判断源站存在泄露风险,通过测试已接入waf防护的源站ip对应的业务端口是否能成功建立连接验证配置是否生效。如果显示端口无法直接连通,但网站业务仍可正常访问,则表示源站保护配置成功。
开启elb访问控制
如果您的源站服务器直接部署在华为云elb上,请参考以下操作步骤设置访问控制(白名单)策略,只放行waf回源ip段。
- 。
- 单击管理控制台左上角的,选择区域或项目。
- 单击页面左上方的,选择 。
- 在目标elb所在行的“监听器”列中,单击监听器名称,进入监听器的详情页面。
- 在目标监听器所在行的“访问控制”列,单击“设置”。
图4 监听器列表
- 在弹出的对话框中,“访问控制”选择“白名单”。
- 单击“确定”,白名单访问控制策略添加完成。
您可以参考如何判断源站存在泄露风险,通过测试已接入waf防护的源站ip对应的业务端口是否能成功建立连接验证配置是否生效。如果显示端口无法直接连通,但网站业务仍可正常访问,则表示源站保护配置成功。
意见反馈
文档内容是否对您有帮助?
如您有其它疑问,您也可以通过华为云社区问答频道来与我们联系探讨