您的位置 首页 阿里云

阿里云 web 防火墙

1- 接入 网站域名

2- 配置CNAME

3- 对ECS 进行 安全组设置 Web,WAF回源IP

 

CNAME接入模式下,网站的业务流量经过WAF防护后流回源站。若源站IP泄露则攻击者会绕过WAF直接攻击源站。您可以为源站服务器配置访问控制策略,只放行WAF回源IP段入方向的流量来保护源站。本文以部署了阿里云负载均衡SLB的ECS服务器为例,讲解如何配置访问控制策略。

用户PC(域名访问) -> DNS(SSL) -> CDN -> 应用防火墙(WAF) -> ECS安全组 -> ECS(443)

用户PC(IP访问) -> 边界防火墙 -> ECS安全组 -> ECS(指定端口)

 

 

需要配置 ip 白名单,

就是针对防火墙的 产品。

网站接入WAF后,由于访问来源IP变得更加集中,访问频率变得更高,服务器上的防火墙或安全软件很容易认为这些IP在发起攻击,从而将WAF回源IP段拉黑。如果WAF的回源IP段被拉黑,WAF的请求将无法得到源站的正常响应。因此,在网站接入WAF后,您应确保源站服务器已将WAF的全部回源IP放行(即加入白名单),否则可能会出现网站无法打开或打开极其缓慢等情况。

什么是WAF回源IP段?

回源IP段是WAF代理真实客户端请求源站服务器时使用的IP地址段。在源站服务器看来,网站接入WAF后,所有请求来源IP都会变成WAF的回源IP,而真实的客户端IP会被添加在HTTP头部的XFF字段中。

欢迎来撩 : 汇总all

白眉大叔

关于白眉大叔linux云计算: 白眉大叔

热门文章