网站已接入Web应用防火墙进行防护后,您可以设置源站服务器的访问控制策略,只放行WAF回源IP段的入方向流量,防止黑客获取您的源站IP后绕过WAF直接攻击源站。本文介绍了源站服务器部署在云服务器ECS、负载均衡SLB时,如何设置对应的安全组规则和白名单策略。
前提条件
风险须知
网站已接入WAF进行防护后,无论您是否设置源站保护,都不影响正常业务的转发。设置源站保护可以帮助您预防攻击者在源站IP暴露的情况下,绕过WAF直接攻击您的源站。关于如何判断源站是否存在IP泄露风险,请参见相关问题。
配置源站服务器的访问控制策略存在一定风险。在设置源站保护前,请注意以下事项:
- 请确保源站ECS实例、SLB实例上的所有网站域名都已经接入WAF进行防护。
- 当WAF集群出现故障时,可能会将域名访问请求旁路回源至源站,确保网站正常访问。这种情况下,如果源站已设置ECS安全组、SLB白名单防护,则可能会导致源站无法从公网访问。
- 当WAF集群扩容增加新的回源网段时,如果源站已设置ECS安全组、SLB白名单防护,可能会导致频繁出现5xx错误。
获取WAF回源IP段
注意 WAF回源IP网段会定期更新,请关注定期变更通知,及时将更新后的回源IP网段添加至相应的安全组、白名单规则中,避免出现误拦截。
设置ECS安全组规则
如果您的源站服务器直接部署在云服务器ECS实例上,请在获取WAF回源IP段后,参照以下步骤设置源站ECS实例的安全组规则。通过设置安全组规则,只允许WAF回源IP段的入方向流量。
说明 如果当前安全组防护的服务器还与其他的IP或应用存在交互,需要将这些交互的IP和端口通过安全组一并加白放行,或者在最后添加一条优先级最低的全端口放行策略。
开启SLB访问控制
如果您的源站服务器部署了负载均衡SLB,请在获取WAF回源IP段后,参照以下步骤设置SLB实例的访问控制(白名单)策略。通过开启访问控制(白名单),只允许WAF回源IP段的入方向流量。
后续操作
完成ECS安全组、SLB白名单设置后,您可以通过测试源站IP的80端口和8080端口是否能成功建立连接,验证设置是否生效。
如果显示端口无法直接连通,但网站业务仍可正常访问,则表示源站保护已设置成功。
相关问题
如何确认源站是否存在IP泄露风险?
您可以在非阿里云环境直接使用Telnet工具连接源站公网IP地址的业务端口,检测是否能够成功建立连接。
- 如果可以连通,表示源站存在IP泄露风险,一旦黑客获取到源站公网IP就可以绕过WAF直接访问源站。
- 如果无法连通,则表示源站当前不存在IP泄露风险。
示例:测试已接入WAF进行防护的源站IP的80端口和8080端口是否能成功建立连接,截图中的测试结果显示端口可连通,说明源站存在IP泄露风险。

在文档使用中是否遇到以下问题
更多建议
匿名提交