如何放行云模式waf的回源ip段?-凯发k8国际娱乐官网入口
网站以“云模式-cname”方式成功接入waf后,建议您在源站服务器上配置只放行waf回源ip的访问控制策略,防止黑客获取源站ip后绕过waf直接攻击源站,以确保源站安全、稳定、可用。
网站成功接入waf后,如果访问网站频繁出现502/504错误,建议您检查并确保源站服务器已配置了放行waf回源ip的访问控制策略。
什么是回源ip?
回源ip是waf用来代理客户端请求服务器时用的源ip,在服务器看来,接入waf后所有源ip都会变成waf的回源ip,而真实的客户端地址会被加在http头部的xff字段中。
- waf的回源ip会因为扩容/新建集群而增加,对于一个客户的存量域名,一般回源ip会固定在2~4个集群的几个c类ip地址(192.0.0.0~223.255.255.255)上。
- 一般情况下,在没有灾备切换或其他调度切换集群的场景下,回源ip不会变。且waf后台做集群切换时,会探测源站安全组配置,确保不会因为安全组配置导致业务整体故障。
回源ip检测机制
回源ip(该ip在回源ip段中)是随机分配的。回源时waf会监控回源ip的状态,如果该ip异常,waf将剔除该异常ip并随机分配正常的回源ip接收/转发访问请求。
为什么需要放行回源ip段?
waf实例的ip数量有限,且源站服务器收到的所有请求都来自这些ip。在源站服务器上的安全软件很容易认为这些ip是恶意ip,有可能触发屏蔽waf回源ip的操作。一旦waf的回源ip被屏蔽,waf的请求将无法得到源站的正常响应,因此,在接入waf防护后,您需要在源站服务器的安全软件上设置放行所有waf回源ip,不然可能会出现网站打不开或打开极其缓慢等情况。
网站接入waf后,建议您卸载源站服务器上的其他安全软件,或者配置只允许来自waf的访问请求访问您的源站,这样既可保证访问不受影响,又能防止源站ip暴露后被黑客直接攻击。
操作步骤
- 。
- 单击管理控制台左上角的,选择区域或项目。
- 单击页面左上方的,选择 。
- 在左侧导航树中,选择“网站设置”,进入“网站设置”页面。
- 在网站列表上方,单击“web应用防火墙回源ip网段”,查看web应用防火墙所有回源ip段。
图2 回源ip网段
- 在“web应用防火墙的回源ip网段”对话框,单击“复制ip段”,复制所有回源ip。
图3 web应用防火墙的回源ip网段
- 打开源站服务器上的安全软件,将复制的ip段添加到白名单。
- 源站服务器部署在华为云ecs上,请参考源站服务器部署在华为云ecs上,放行waf回源ip进行操作。
- 源站服务器部署在华为云elb上,请参考源站服务器部署在华为云elb上,放行waf回源ip进行操作。
- 如果您同时使用了华为云云防护墙(cfw),请参考添加防护规则放行waf的回源ip。
- 如果后端资源在其他云厂商,请在对应安全组、访问控制等中添加信任waf的回源ip。
- 如果源站服务器只安装了个人版杀毒软件,通常这些软件没有配置加白ip的界面。如果是对外提供web业务的服务器,建议您安装服务器版本的企业安全软件,或华为云主机安全服务产品,这些产品会识别一些请求量较大的ip的socket,并偶发断开连接,一般情况下不会拦截waf的回源ip。
源站服务器部署在华为云ecs上,放行waf回源ip
如果您的源站服务器直接部署在华为云ecs上,请参考以下操作步骤设置安全组规则,只放行waf回源ip段。
- 。
- 单击管理控制台左上角的,选择区域或项目。
- 单击页面左上方的,选择 。
- 在目标ecs所在行的“名称/id”列中,单击目标ecs实例名称,进入ecs实例的详情页面。
- 选择“安全组”页签,单击“更改安全组”。
- 单击安全组名称,进入安全组基本信息页面。
- 选择“入方向规则”页签,单击“添加规则”,进入“添加入方向规则”页面,如图4所示,参数配置说明如表1所示。
图4 添加入方向规则
表1 入方向规则参数配置说明 参数
配置说明
协议端口
安全组规则作用的协议和端口。选择“自定义tcp”后,在tcp框下方输入源站的端口。
源地址
逐一添加步骤 6中复制的所有waf回源ip段。
说明:一条规则配置一个ip。单击“增加1条规则”,可配置多条规则,最多支持添加10条规则。
- 单击“确定”,安全组规则添加完成。
成功添加安全组规则后,安全组规则将允许waf回源ip段的所有入方向流量。
源站服务器部署在华为云elb上,放行waf回源ip
如果您的源站服务器直接部署在华为云elb上,请参考以下操作步骤设置访问控制(白名单)策略,只放行waf回源ip段。
- 如何排查404/502/504错误?
- waf误拦截了正常访问请求,如何处理?
- 如何放行云模式waf的回源ip段?
- 如何解决重定向次数过多?
- 如何解决https请求在部分手机访问异常?
- 如何解决证书链不完整?
- 使用waf后如何处理网站的文件不能上传?
意见反馈
文档内容是否对您有帮助?
如您有其它疑问,您也可以通过华为云社区问答频道来与我们联系探讨
more