Web应用防火墙使用特定的回源IP段将经过防护引擎检测后的正常流量转发回网站域名的源站服务器。网站接入Web应用防火墙进行防护时,您需要设置源站服务器的安全软件或访问控制策略,放行Web应用防火墙回源IP段的入方向流量。

背景信息

如果您的源站服务器上使用了安全狗、云锁等安全软件,您必须在源站安全软件中设置放行Web应用防火墙回源IP段,避免由Web应用防火墙转发回源站服务器的正常流量被误判断为异常攻击而被拦截,影响网站正常访问。

出于安全性考虑,建议您在网站流量成功接入Web应用防火墙后,设置源站服务器的访问控制策略,只允许Web应用防火墙回源IP段的入方向流量,避免攻击者绕过Web应用防火墙直接对源站服务器发起攻击。更多信息,请参见设置源站保护

2020年4月30日新增回源IP段

2020年4月30日,Web应用防火墙服务集群扩容后,增加了以下回源IP段:
  • 中国内地:39.96.158.0/24,47.110.182.0/24,120.77.139.0/25,47.102.187.0/25
  • 海外:47.56.50.0/24,161.117.161.0/25,147.139.22.0/25,8.209.192.0/25
警告 如果您当前使用Web应用防火墙防护的网站域名的源站通过设置IP白名单或安全组的方式进行访问控制,仅允许WAF回源IP访问源站,您需要将新增的Web应用防火墙回源IP添加至白名单,否则通过Web应用防火墙转发回源站的流量可能被源站的访问控制策略拦截,导致无法正常访问。

建议您及时更新源站访问控制策略的白名单,增加本次新增的回源IP段。

获取WAF回源IP段

您可以根据已开通的WAF实例的地域,从下表中直接获取对应的回源IP段,或者参照下文操作步骤,从Web应用防火墙控制台获取实时更新的回源IP段。

WAF实例地域 回源IP段
中国内地 121.43.18.0/24,120.25.115.0/24,101.200.106.0/24,120.55.177.0/24,120.27.173.0/24,120.55.107.0/24,123.57.117.0/24,120.76.16.0/24,182.92.253.32/27,60.205.193.64/27,60.205.193.96/27,120.78.44.128/26,118.178.15.0/24,39.106.237.192/26,106.15.101.96/27,47.101.16.64/27,47.106.31.0/24,47.98.74.0/25,47.97.242.96/27,112.124.159.0/24,39.96.130.0/24,39.96.119.0/24,47.99.20.0/24,47.104.53.0/26,47.108.23.192/26,39.104.199.128/26,39.96.158.0/24,47.110.182.0/24,120.77.139.0/25,47.102.187.0/25
海外地区 47.89.1.160/27,47.89.7.192/26,47.88.145.96/27,47.88.250.0/24,47.52.120.0/24,47.254.217.32/27,47.88.74.0/24,47.89.132.224/27,47.91.69.64/27,47.91.54.128/27,47.74.160.0/24,47.91.113.64/27,149.129.211.0/27,149.129.140.0/27,8.208.2.192/27,47.56.50.0/24,161.117.161.0/25,147.139.22.0/25,8.209.192.0/25
说明 如果网站域名的源站部署在日本,请务必添加8.209.192.0/25回源IP段。
  1. 登录Web应用防火墙控制台
  2. 在顶部菜单栏,选择Web应用防火墙实例的资源组和地域(中国内地海外地区)。
  3. 在左侧导航栏,单击系统管理 > 产品信息
  4. 产品信息页面底部,定位到回源IP段区域,单击复制全部IP
    回源IP段区域实时显示最新的Web应用防火墙回源IP段。回源IP段,waf

后续步骤

获取WAF回源IP段后,您需要将回源IP段添加到源站安全软件的白名单中。

警告 如果您没有在源站设置放行WAF的回源IP段,则WAF转发回源站的正常业务请求可能会被误拦截,导致业务中断。