【产品技术】源站保护
正确配置源站ECS的安全组和ELB的白名单,可以防止黑客直接攻击您的源站IP。
源站保护不是必须的。没有配置源站保护不会影响正常业务转发,但可能导致攻击者在源站IP暴露的情况下,绕过Web应用防火墙直接攻击您的源站。
可以在非华为云环境直接使用Telnet工具连接源站公网IP地址的业务端口(或者直接在浏览器中输入访问Web应用的IP),观察是否建立连接成功。如果可以连通,表示源站存在泄露风险,一旦黑客获取到源站公网IP就可以绕过WAF直接访问;如果无法连通,则表示当前不存在源站泄露风险。
例如,测试已接入WAF防护的源站IP对外开放的端口是否能成功建立连接,测试结果显示端口可连通,说明存在源站泄露风险。
在配置源站保护前,请确保该ECS或ELB实例上的所有网站域名都已经接入Web应用防火墙,保证网站能正常访问。
配置安全组存在一定风险,避免出现以下问题:
网站设置了Bypass回源,但未取消安全组和网络ACL等配置,这种情况下,可能会导致源站无法从公网访问。
当Web应用防火墙集群扩容新的回源网段时,如果源站已配置安全组防护,可能会导致频繁出现5xx错误。
Web应用防火墙的回源IP网段会定期更新,及时将更新后的回源IP网段添加至相应的安全组规则中,避免出现误拦截。
在“Web应用防火墙的回源IP网段”对话框,单击“复制IP段”,复制所有回源IP。
配置源站只允许Web应用防火墙回源IP进行访问。
源站是ECS
单击“安全组”页签,展开安全组,在页面的右上角,单击“更改安全组规则”,切换到本实例安全组页面
选择目标安全组,单击“添加规则”,进入“添加入方向规则”页面
协议/应用:TCP
端口:源站的端口
源地址:将复制的所有Web应用防火墙回源IP段,逐一添加。
一条规则配置一个IP。单击“增加1条规则”,可配置多条规则,最多支持添加10条规则。
描述:可选参数,备注信息。
源站是ELB
在“访问控制”所在行,单击“设置”,进入“设置访问控制”页面
开启“访问控制开关”,将复制的所有Web应用防火墙回源IP段添加到“白名单”框中,设置只允许WAF的回源IP段访问负载均衡监听器。
开启“访问控制开关”,只允许白名单列表中的IP访问负载均衡监听器。
在“白名单”框中添加IP地址或网段时,IP地址或网段以逗号隔开,不可重复。
源站保护配置完成后,您可以通过测试已接入WAF防护的源站IP对应的业务端口是否能成功建立连接验证配置是否生效。如果显示端口无法直接连通,但网站业务仍可正常访问,则表示源站保护配置成功。
- 点赞
- 收藏
- 关注作者
评论(0)