全部产品
弹性计算 会员服务 网络 安全 移动云 数加·大数据分析及展现 数加·大数据应用 管理与监控 云通信 阿里云办公 培训与认证 智能硬件
存储与CDN 数据库 域名与网站(万网) 应用服务 数加·人工智能 数加·大数据基础服务 互联网中间件 视频服务 开发者工具 解决方案 物联网 更多
Web 应用防火墙

源站保护

更新时间:2018-06-28 18:02:01

正确配置源站ECS的安全组和SLB的白名单,可以防止黑客直接攻击您的源站IP。本文介绍了相关配置方法。

注意:源站保护不是必须的。没有配置源站保护不会影响正常业务转发,但可能导致攻击者在源站IP暴露的情况下,绕过Web应用防火墙直接攻击您的源站。

注意事项

配置安全组存在一定风险。在配置源站保护前,请注意以下事项:

  • 请确保该ECS或SLB实例上的所有域名都已经接入Web应用防火墙。
  • 当Web应用防火墙集群出现故障时,可能会将域名访问请求旁路回源至源站,这种情况下,如果源站已配置安全组防护,可能会导致源站无法从公网访问。
  • 当Web应用防火墙集群扩容新的回源网段时,如果源站已配置安全组防护,可能会导致频繁出现5xx错误。

操作步骤

参照以下步骤,来配置源站保护:

  1. 登录云盾Web应用防火墙控制台,并前往管理>网站配置页。

  2. 单击Web应用防火墙回源IP网段列表,查看Web应用防火墙所有回源IP段。

    WAF回源IP

  3. WAF回源IP段对话框,单击复制IP段,复制所有回源IP。

    回源IP

  4. 参照以下步骤,配置源站只允许WAF回源IP进行访问。

    源站是ECS

    1. 前往ECS 实例列表,定位到需要配置安全组的ECS实例,单击其操作列下的管理
    2. 切换到本实例安全组页面。
    3. 选择目标安全组,并单击其操作列下的配置规则
    4. 单击添加安全组规则,并配置如下安全组规则:
      • 网卡类型:公网
      • 规则方向:入方向
      • 授权策略:允许
      • 协议类型:TCP
      • 授权类型:地址段访问
      • 端口范围:80/443
      • 授权对象:粘贴步骤3中复制的所有Web应用防火墙回源IP段
      • 优先级:1
    5. 为所有Web应用防火墙回源IP段添加安全组规则后,再添加如下安全组规则,拒绝公网入方向的所有IP段访问,优先级为100。
      • 网卡类型:公网
      • 规则方向:入方向
      • 授权策略:拒绝
      • 协议类型:TCP
      • 端口范围:80/443
      • 授权类型:地址段访问
      • 授权对象:0.0.0.0/0
      • 优先级:100

    说明:如果本安全组防护的服务器还与其他的IP或应用存在交互,需要将这些交互的IP和端口通过安全组一并加白放行,或者在最后添加一条优先级最低的全端口放行策略。

    源站是SLB

    通过类似的方式,将Web应用防火墙的回源IP加入相应负载均衡实例的白名单,具体设置方法请参考设置负载均衡白名单访问控制

本文导读目录