通过配置ecs/elb访问控制策略保护源站安全-凯发k8国际娱乐官网入口

操作须知

• 在配置源站保护前，请确保该ecs或elb实例上的所有网站域名都已经接入waf，保证网站能正常访问。
• 配置安全组存在一定风险，避免出现以下问题：
  • 您的网站设置了bypass回源，但未取消安全组和网络acl等配置，这种情况下，可能会导致源站无法从公网访问。
  • 当waf有新增的回源网段时，如果源站已配置安全组防护，可能会导致频繁出现5xx错误。

如何判断源站存在泄露风险

您可以在非华为云环境直接使用telnet工具连接源站公网ip地址的业务端口（或者直接在浏览器中输入访问web应用的ip），查看是否建立连接成功。

• 如果可以连通

  表示源站存在泄露风险，一旦黑客获取到源站公网ip就可以绕过waf直接访问。

• 如果无法连通

  表示当前不存在源站泄露风险。

例如，测试已接入waf防护的源站ip对外开放的443端口是否能成功建立连接，显示如图1所示类似信息，说明端口可连通，表示该源站存在泄露风险。

图1 测试源站泄露风险

获取waf回源ip地址

回源ip是waf用来代理客户端请求服务器时用的源ip，在服务器看来，接入waf后所有源ip都会变成waf的回源ip，而真实的客户端地址会被加在http头部的xff字段中。有关回源ip地址的详细介绍，请参见如何放行回源ip段？。

1. 。
2. 单击管理控制台左上角的，选择区域或项目。
3. 单击页面左上方的，选择“安全与合规 > web应用防火墙 waf”。
4. 在左侧导航树中，选择“网站设置”，进入“网站设置”页面。
5. 在网站列表右侧上方，单击“web应用防火墙回源ip网段”，查看web应用防火墙所有回源ip段。
   

   web应用防火墙的回源ip网段会定期更新，及时将更新后的回源ip网段添加至相应的安全组规则中，避免出现误拦截。

6. 在“web应用防火墙的回源ip网段”对话框，单击“复制ip段”，复制所有回源ip。
   图2 web应用防火墙的回源ip网段
   

设置ecs入方向规则

如果您的源站服务器直接部署在华为云ecs上，请参考以下操作步骤设置安全组规则，只放行waf回源ip段。

请确保所有waf回源ip段都已通过源站ecs的安全组规则设置了入方向的允许策略，否则可能导致网站访问异常。

1. 。
2. 单击管理控制台左上角的，选择区域或项目。
3. 单击页面左上方的，选择“计算 > 弹性云服务器 ecs”。
4. 在目标ecs所在行的“名称/id”列中，单击目标ecs实例名称，进入ecs实例的详情页面。
5. 选择“安全组”页签，单击“更改安全组”。
6. 单击安全组id，进入安全组基本信息页面。
7. 选择“入方向规则”页签，单击“添加规则”，进入“添加入方向规则”页面，参数配置说明如表1所示。
   图3 添加入方向规则
   

   表1 入方向规则参数配置说明

   参数	配置说明
   协议端口	安全组规则作用的协议和端口。选择“自定义tcp”后，在tcp框下方输入源站的端口。
   源地址	逐一添加步骤 6中复制的所有waf回源ip段。 说明： 一条规则配置一个ip。单击“增加1条规则”，可配置多条规则，最多支持添加10条规则。

8. 单击“确定”，安全组规则添加完成。

   成功添加安全组规则后，安全组规则将允许waf回源ip段的所有入方向流量。

   您可以参考如何判断源站存在泄露风险，通过测试已接入waf防护的源站ip对应的业务端口是否能成功建立连接验证配置是否生效。如果显示端口无法直接连通，但网站业务仍可正常访问，则表示源站保护配置成功。

开启elb访问控制

如果您的源站服务器直接部署在华为云elb上，请参考以下操作步骤设置访问控制（白名单）策略，只放行waf回源ip段。

1. 。
2. 单击管理控制台左上角的，选择区域或项目。
3. 单击页面左上方的，选择“网络 > 弹性负载均衡 elb”。
4. 在目标elb所在行的“监听器”列中，单击监听器名称，进入监听器的详情页面。
5. 在目标监听器所在行的“访问控制”列，单击“设置”。
   图4 监听器列表
   
6. 在弹出的对话框中，“访问控制”选择“白名单”。
   1. 单击“创建ip地址组”，将步骤 6中独享引擎实例的回源ip地址添加到“ip地址组”。
   2. 在“ip地址组”的下拉框中选择6.a中创建的ip地址组。
7. 单击“确定”，白名单访问控制策略添加完成。

   您可以参考如何判断源站存在泄露风险，通过测试已接入waf防护的源站ip对应的业务端口是否能成功建立连接验证配置是否生效。如果显示端口无法直接连通，但网站业务仍可正常访问，则表示源站保护配置成功。