CNAME接入方式下,Web应用防火墙(WAF)使用特定的回源IP段将经过防护引擎检测后的正常流量转发回Web业务的源站服务器。通过CNAME接入方式接入Web业务到WAF防护后,您需要设置源站服务器的安全软件或访问控制策略,放行WAF回源IP段的入方向流量。

适用场景

CNAME接入方式下,如果您的源站服务器上使用了安全狗、云锁等安全软件或应用了特定的访问控制策略,您必须在源站设置放行 WAF回源IP段 ,避免由WAF转发回源站服务器的正常流量被误判断为异常攻击而被拦截,影响Web业务正常访问。

更多信息:
  • 什么是WAF回源IP段?
    回源IP段是WAF代理真实客户端请求源站服务器时使用的IP地址段。在源站服务器看来,网站接入WAF后,所有请求来源IP都会变成WAF的回源IP,而真实的客户端IP会被添加在HTTP头部的x-forwarded-for(XFF)字段中。waf代理架构
  • 为什么要放行WAF回源IP段?

    网站接入WAF后,由于访问来源IP变得更加集中,访问频率变得更高,服务器上的防火墙或安全软件很容易认为这些IP在发起攻击,从而将WAF回源IP段拉黑。如果WAF的回源IP段被拉黑,WAF的请求将无法得到源站的正常响应。因此,在网站接入WAF后,您应确保源站服务器已将WAF的全部回源IP放行(即加入白名单),不然可能会出现网站打不开或打开极其缓慢等情况。

获取WAF回源IP段

  1. 登录Web应用防火墙3.0控制台
  2. 在顶部菜单栏,选择Web应用防火墙实例的资源组和地域(中国内地非中国内地)。
  3. 在左侧导航栏,单击接入管理
  4. 单击CNAME接入页签。
  5. 在域名列表上方,单击Web应用防火墙回源IP网段列表
    回源IP
  6. 回源IP段对话框,单击复制,将所有WAF回源IP复制到剪贴板。
    说明 复制的回源IP段之间以英文逗号(,)分隔。
    回源IP段

后续步骤

获取WAF回源IP段后,您需要将回源IP段添加到源站安全软件的白名单,或者设置访问控制策略,放行WAF回源IP段的入方向流量。

警告 如果您没有在源站设置放行WAF的回源IP段,则WAF转发回源站的正常业务请求可能会被误拦截,导致业务中断。

出于安全性考虑,建议您在Web业务流量成功接入WAF后,设置源站服务器的访问控制策略,只允许WAF回源IP段的入方向流量,避免攻击者绕过WAF直接对源站服务器发起攻击。