全部产品
弹性计算
会员服务
网络
安全
- 安全公告和技术
- DDoS 基础防护
- DDoS 高防IP
- Web 应用防火墙
- 游戏盾
- 安骑士
- 态势感知
- 证书服务
- 内容安全
- 先知(安全众测)
- 安全管家
- 堡垒机
- 加密服务
- 数据库审计
- 云防火墙
- 实人认证
- 数据风控
- 网络漏洞扫描系统
- 云盾混合云
存储与CDN
数据库
- 云数据库 RDS 版
- 云数据库 Redis 版
- 云数据库 MongoDB 版
- 数据传输服务DTS
- HybridDB for MySQL
- HybridDB for PostgreSQL
- 云数据库 OceanBase
- 数据管理
- 云数据库 Memcache 版
- 云数据库 HBase 版
- 高性能时间序列数据库 HiTSDB
- 云数据库POLARDB
- 数据库备份
- 数据库和应用迁移服务 ADAM
- 混合云数据库管理
- 企业级分布式应用服务 EDAS
- 消息队列 MQ
- 分布式关系型数据库 DRDS
- 云服务总线 CSB
- 业务实时监控服务 ARMS
- 全局事务服务 GTS
- 性能测试 PTS
- 应用配置管理 ACM
- 消息队列 Kafka
正确配置源站ECS的安全组和SLB的白名单,可以防止黑客直接攻击您的源站IP。本文介绍了相关配置方法。
注意:源站保护不是必须的。没有配置源站保护不会影响正常业务转发,但可能导致攻击者在源站IP暴露的情况下,绕过Web应用防火墙直接攻击您的源站。
注意事项
配置安全组存在一定风险。在配置源站保护前,请注意以下事项:
- 请确保该ECS或SLB实例上的所有域名都已经接入Web应用防火墙。
- 当Web应用防火墙集群出现故障时,可能会将域名访问请求旁路回源至源站,这种情况下,如果源站已配置安全组防护,可能会导致源站无法从公网访问。
- 当Web应用防火墙集群扩容新的回源网段时,如果源站已配置安全组防护,可能会导致频繁出现5xx错误。
配置步骤
参照以下步骤,来配置源站保护:
登录到 云盾Web应用防火墙管理控制台,并前往 网站配置 页。
单击 查看Web应用防火墙的地址,获取Web应用防火墙所有回源IP段。
参照以下步骤,配置源站只允许WAF回源IP进行访问。
源站是ECS
- 前往 ECS 实例列表,定位到需要配置安全组的ECS实例,单击其操作列下的 管理。
- 切换到 本实例安全组 页面。
- 选择目标安全组,并单击其操作列下的 配置规则。
- 单击 添加安全组规则,并配置如下安全组规则:
- 网卡类型:公网
- 规则方向:入方向
- 授权策略:允许
- 协议类型:TCP
- 授权类型:地址段访问
- 端口范围:80/443
- 授权对象:Web应用防火墙回源IP段(注意:每个授权规则只能添加一个Web应用防火墙回源IP。)
- 优先级:1
- 参照步骤 iv,为每个Web应用防火墙回源IP创建相应安全组规则。
- 为所有Web应用防火墙回源IP段添加安全组规则后,再添加一个如下安全组规则,拒绝公网入方向的所有IP段访问,优先级为100。
- 网卡类型:公网
- 规则方向:入方向
- 授权策略:拒绝
- 协议类型:TCP
- 端口范围:80/443
- 授权类型:地址段访问
- 授权对象:0.0.0.0/0
- 优先级:100
注意:如果本安全组防护的服务器还与其他的IP或应用存在交互,需要将这些交互的IP和端口通过安全组一并加白放行,或者在最后添加一条优先级最低的全端口放行策略。
源站是SLB
通过类似的方式,将Web应用防火墙的回源IP加入相应负载均衡实例的白名单,具体设置方法请参考设置负载均衡白名单访问控制。
以上内容是否对您有帮助?
感谢您的打分,是否有意见建议想告诉我们?
感谢您的反馈,反馈我们已经收到
在文档使用中是否遇到以下问题
更多建议
匿名提交