【产品技术】源站保护

正确配置源站ECS的安全组和ELB的白名单，可以防止黑客直接攻击您的源站IP。

源站保护不是必须的。没有配置源站保护不会影响正常业务转发，但可能导致攻击者在源站IP暴露的情况下，绕过Web应用防火墙直接攻击您的源站。

可以在非华为云环境直接使用Telnet工具连接源站公网IP地址的业务端口（或者直接在浏览器中输入访问Web应用的IP），观察是否建立连接成功。如果可以连通，表示源站存在泄露风险，一旦黑客获取到源站公网IP就可以绕过WAF直接访问；如果无法连通，则表示当前不存在源站泄露风险。

例如，测试已接入WAF防护的源站IP对外开放的端口是否能成功建立连接，测试结果显示端口可连通，说明存在源站泄露风险。

在配置源站保护前，请确保该ECS或ELB实例上的所有网站域名都已经接入Web应用防火墙，保证网站能正常访问。

配置安全组存在一定风险，避免出现以下问题：

• 网站设置了Bypass回源，但未取消安全组和网络ACL等配置，这种情况下，可能会导致源站无法从公网访问。

• 当Web应用防火墙集群扩容新的回源网段时，如果源站已配置安全组防护，可能会导致频繁出现5xx错误。

Web应用防火墙的回源IP网段会定期更新，及时将更新后的回源IP网段添加至相应的安全组规则中，避免出现误拦截。

在“Web应用防火墙的回源IP网段”对话框，单击“复制IP段”，复制所有回源IP。

配置源站只允许Web应用防火墙回源IP进行访问。

• 源站是ECS

• 单击“安全组”页签，展开安全组，在页面的右上角，单击“更改安全组规则”，切换到本实例安全组页面

• 选择目标安全组，单击“添加规则”，进入“添加入方向规则”页面

• 协议/应用：TCP

• 端口：源站的端口

• 源地址：将复制的所有Web应用防火墙回源IP段，逐一添加。

一条规则配置一个IP。单击“增加1条规则”，可配置多条规则，最多支持添加10条规则。

• 描述：可选参数，备注信息。

  
  

• 源站是ELB

• 在“访问控制”所在行，单击“设置”，进入“设置访问控制”页面

• 开启“访问控制开关”，将复制的所有Web应用防火墙回源IP段添加到“白名单”框中，设置只允许WAF的回源IP段访问负载均衡监听器。

• 开启“访问控制开关”，只允许白名单列表中的IP访问负载均衡监听器。

• 在“白名单”框中添加IP地址或网段时，IP地址或网段以逗号隔开，不可重复。

源站保护配置完成后，您可以通过测试已接入WAF防护的源站IP对应的业务端口是否能成功建立连接验证配置是否生效。如果显示端口无法直接连通，但网站业务仍可正常访问，则表示源站保护配置成功。