网站已接入Web应用防火墙进行防护后,您可以设置源站服务器的访问控制策略,只放行WAF回源IP段的入方向流量,防止黑客获取您的源站IP后绕过WAF直接攻击源站。本文介绍了源站服务器部署在云服务器ECS、负载均衡SLB时,如何设置对应的安全组规则和白名单策略。

前提条件

源站服务器部署在云服务器ECS、负载均衡SLB,且源站ECS实例、SLB实例上的所有网站域名都已经接入WAF进行防护。更多信息,请参见添加域名

风险须知

网站已接入WAF进行防护后,无论您是否设置源站保护,都不影响正常业务的转发。设置源站保护可以帮助您预防攻击者在源站IP暴露的情况下,绕过WAF直接攻击您的源站。关于如何判断源站是否存在IP泄露风险,请参见相关问题

配置源站服务器的访问控制策略存在一定风险。在设置源站保护前,请注意以下事项:
  • 请确保源站ECS实例、SLB实例上的所有网站域名都已经接入WAF进行防护。
  • 当WAF集群出现故障时,可能会将域名访问请求旁路回源至源站,确保网站正常访问。这种情况下,如果源站已设置ECS安全组、SLB白名单防护,则可能会导致源站无法从公网访问。
  • 当WAF集群扩容增加新的回源网段时,如果源站已设置ECS安全组、SLB白名单防护,可能会导致频繁出现5xx错误。

获取WAF回源IP段

注意 WAF回源IP网段会定期更新,请关注定期变更通知,及时将更新后的回源IP网段添加至相应的安全组、白名单规则中,避免出现误拦截。
  1. 登录Web应用防火墙控制台
  2. 在顶部菜单栏,选择Web应用防火墙实例的资源组和地域(中国内地海外地区)。
  3. 在左侧导航栏,单击系统管理 > 产品信息
  4. 产品信息页面底部,定位到回源IP段区域,单击复制全部IP
    回源IP段区域实时显示最新的Web应用防火墙回源IP段。回源IP段,waf

设置ECS安全组规则

如果您的源站服务器直接部署在云服务器ECS实例上,请在获取WAF回源IP段后,参照以下步骤设置源站ECS实例的安全组规则。通过设置安全组规则,只允许WAF回源IP段的入方向流量。

  1. 登录云服务器ECS控制台
  2. 在左侧导航栏,单击实例与镜像 > 实例
  3. 在顶部菜单栏,选择ECS实例的资源组和地域。
  4. 实例列表,定位到要操作的实例,单击其操作列下的更多 > 网络和安全组 > 安全组配置
  5. 定位到要设置的安全组,单击其操作列下的配置规则
  6. 单击添加安全组规则
  7. 添加安全组规则对话框,完成以下规则配置,并单击确定安全组规则-allow
    参数 说明
    网卡类型 默认与ECS实例的网络类型保持一致。
    • ECS实例的网络类型为专有网络时,默认为内网
    • ECS实例的网络类型为经典网络时,网卡类型需要设置为公网
    规则方向 选择入方向
    授权类型 选择允许
    协议类型 选择自定义TCP
    端口范围 输入80/443
    优先级 输入1,表示优先级最高。
    授权类型 选择IPv4地址段访问
    授权对象 粘贴已获取的WAF回源IP段。

    授权对象支持使用类似“10.x.x.x/32”的IP网段格式。多个授权对象间使用英文逗号(,)分隔。每个安全组规则最多支持添加10个授权对象。

    说明 建议您将所有Web应用防火墙回源IP分成多组(每组包含的IP段数量不超过10个),并添加多个安全组策略进行授权。
    描述 自定义描述信息。示例:允许Web应用防火墙回源IP段入方向流量。
    成功添加安全组规则后,以上安全组规则将以最高优先级允许WAF回源IP段的所有入方向流量。
    警告 请务必确保所有WAF回源IP段都已通过源站ECS实例的安全组规则设置了入方向的允许策略,否则可能导致网站访问异常。
  8. 再次添加一条优先级最低的安全组规则,拒绝所有IP段的入方向流量。安全组规则-deny
    具体规则配置如下表所示。
    参数 说明
    网卡类型 默认与ECS实例的网络类型保持一致。
    • ECS实例的网络类型为专有网络时,默认为内网
    • ECS实例的网络类型为经典网络时,网卡类型需要设置为公网
    规则方向 选择入方向
    授权类型 选择拒绝
    协议类型 选择自定义TCP
    端口范围 输入80/443
    优先级 输入100,表示优先级最低。
    授权类型 选择IPv4地址段访问
    授权对象 输入0.0.0.0/0,表示所有IP段。
    描述 自定义描述信息。示例:拒绝所有入方向流量,优先级100。
说明 如果当前安全组防护的服务器还与其他的IP或应用存在交互,需要将这些交互的IP和端口通过安全组一并加白放行,或者在最后添加一条优先级最低的全端口放行策略。

开启SLB访问控制

如果您的源站服务器部署了负载均衡SLB,请在获取WAF回源IP段后,参照以下步骤设置SLB实例的访问控制(白名单)策略。通过开启访问控制(白名单),只允许WAF回源IP段的入方向流量。

  1. 登录负载均衡SLB控制台
  2. 在左侧导航栏,单击访问控制
  3. 单击创建访问控制策略组
  4. 创建访问控制策略组页面,完成以下策略组配置,并单击确定访问控制策略组
    参数 说明
    策略组名称 自定义策略组名称。示例:Web应用防火墙回源IP段。
    所属资源组 选择策略组所属资源组。
    IP版本 选择IPv4
    批量添加IP地址/地址段和备注 粘贴所有WAF回源IP。

    每行只允许输入一个条目。多个条目间以回车分隔。

    说明 由于复制获取的所有WAF回源IP段之间以英文逗号(,)分隔,建议您使用支持扩展替换的文本编辑器(例如notepad、word等),将英文逗号(,)统一替换为换行符(\n)再进行粘贴。
    替换
  5. 在左侧导航栏,单击实例 > 实例管理
  6. 实例管理列表,定位到要操作的实例,单击其ID。
  7. 监听列表,定位到要设置的监听,单击其操作列下的更多 > 设置访问控制
  8. 在访问控制设置页面,开启启动访问控制开关,完成以下设置,并单击确定访问控制设置
    参数 说明
    访问控制方式 选择白名单:允许特定IP访问负载均衡SLB
    选择访问控制策略组 选择WAF回源IP对应的访问控制策略组。

后续操作

完成ECS安全组、SLB白名单设置后,您可以通过测试源站IP的80端口和8080端口是否能成功建立连接,验证设置是否生效。

如果显示端口无法直接连通,但网站业务仍可正常访问,则表示源站保护已设置成功。

相关问题

如何确认源站是否存在IP泄露风险?

您可以在非阿里云环境直接使用Telnet工具连接源站公网IP地址的业务端口,检测是否能够成功建立连接。
  • 如果可以连通,表示源站存在IP泄露风险,一旦黑客获取到源站公网IP就可以绕过WAF直接访问源站。
  • 如果无法连通,则表示源站当前不存在IP泄露风险。
示例:测试已接入WAF进行防护的源站IP的80端口和8080端口是否能成功建立连接,截图中的测试结果显示端口可连通,说明源站存在IP泄露风险。端口可连通,waf