全部产品
弹性计算 会员服务 网络 安全 移动云 数加·大数据分析及展现 数加·大数据应用 管理与监控 云通信 阿里云办公 培训与认证 更多
存储与CDN 数据库 域名与网站(万网) 应用服务 数加·人工智能 数加·大数据基础服务 互联网中间件 视频服务 开发者工具 解决方案 物联网 智能硬件
Web 应用防火墙

步骤二:放行回源IP段

更新时间:2017-06-07 13:26:11

1.何为回源IP段?在哪里?

WAF控制台提供了最新的回源IP段列表:

回源IP

回源IP是WAF用来代理客户端请求服务器时用的源IP,在服务器看来,接入WAF后所有源IP都会变成WAF的回源IP,而真实的客户端地址会被加在HTTP头部的XFF字段中。

强烈建议接入WAF后卸载掉服务器上的其他安全软件,如安全狗、云锁等,至少确保源站已将WAF的全部回源IP放行(加入白名单),不然可能会出现网站打不开或极其缓慢的情况。

2.为何要放行回源IP段?

接入WAF后,WAF作为一个反向代理存在于客户端和服务器之间,服务器的真实IP被隐藏起来,客户端只能看到WAF,而看不到源站。如下图所示(origin为源站):

fullnat

在源站(真实服务器)看来,所有的请求源IP都会变成WAF的回源IP段。

由于来源的IP变得更加“集中”,频率会变得更快,服务器上的防火墙或安全软件很容易认为这些IP在发起攻击,从而将其拉黑。一旦拉黑,WAF的请求将无法得到源站的正常响应,故务必要确保回源IP在源站上没有被拦截。

本文导读目录