【产品技术】源站保护

举报
懒宅君 发表于 2020/06/27 15:48:43 2020/06/27
【摘要】 正确配置源站ECS的安全组和ELB的白名单,可以防止黑客直接攻击您的源站IP。源站保护不是必须的。没有配置源站保护不会影响正常业务转发,但可能导致攻击者在源站IP暴露的情况下,绕过Web应用防火墙直接攻击您的源站。可以在非华为云环境直接使用Telnet工具连接源站公网IP地址的业务端口(或者直接在浏览器中输入访问Web应用的IP),观察是否建立连接成功。如果可以连通,表示源站存在泄露风险,一...

正确配置源站ECS的安全组和ELB的白名单,可以防止黑客直接攻击您的源站IP。


源站保护不是必须的。没有配置源站保护不会影响正常业务转发,但可能导致攻击者在源站IP暴露的情况下,绕过Web应用防火墙直接攻击您的源站。


可以在非华为云环境直接使用Telnet工具连接源站公网IP地址的业务端口(或者直接在浏览器中输入访问Web应用的IP),观察是否建立连接成功。如果可以连通,表示源站存在泄露风险,一旦黑客获取到源站公网IP就可以绕过WAF直接访问;如果无法连通,则表示当前不存在源站泄露风险。

例如,测试已接入WAF防护的源站IP对外开放的端口是否能成功建立连接,测试结果显示端口可连通,说明存在源站泄露风险。

image.png


在配置源站保护前,请确保该ECS或ELB实例上的所有网站域名都已经接入Web应用防火墙,保证网站能正常访问。

配置安全组存在一定风险,避免出现以下问题:

  • 网站设置了Bypass回源,但未取消安全组和网络ACL等配置,这种情况下,可能会导致源站无法从公网访问。

  • 当Web应用防火墙集群扩容新的回源网段时,如果源站已配置安全组防护,可能会导致频繁出现5xx错误。

Web应用防火墙的回源IP网段会定期更新,及时将更新后的回源IP网段添加至相应的安全组规则中,避免出现误拦截。

image.png

在“Web应用防火墙的回源IP网段”对话框,单击“复制IP段”,复制所有回源IP。


image.png

配置源站只允许Web应用防火墙回源IP进行访问。

    • 源站是ECS

image.png

    • 单击“安全组”页签,展开安全组,在页面的右上角,单击“更改安全组规则”,切换到本实例安全组页面

image.png

    • 选择目标安全组,单击“添加规则”,进入“添加入方向规则”页面

image.png

        • 协议/应用:TCP

        • 端口:源站的端口

        • 源地址:将复制的所有Web应用防火墙回源IP段,逐一添加。


一条规则配置一个IP。单击“增加1条规则”,可配置多条规则,最多支持添加10条规则。

        • 描述:可选参数,备注信息。


    • 源站是ELB

image.png

    • 在“访问控制”所在行,单击“设置”,进入“设置访问控制”页面

image.png

    • 开启“访问控制开关”,将复制的所有Web应用防火墙回源IP段添加到“白名单”框中,设置只允许WAF的回源IP段访问负载均衡监听器。


        • 开启“访问控制开关”,只允许白名单列表中的IP访问负载均衡监听器。

        • 在“白名单”框中添加IP地址或网段时,IP地址或网段以逗号隔开,不可重复。


源站保护配置完成后,您可以通过测试已接入WAF防护的源站IP对应的业务端口是否能成功建立连接验证配置是否生效。如果显示端口无法直接连通,但网站业务仍可正常访问,则表示源站保护配置成功。

 


【版权声明】本文为华为云社区用户原创内容,转载时必须标注文章的来源(华为云社区)、文章链接、文章作者等基本信息, 否则作者和本社区有权追究责任。如果您发现本社区中有涉嫌抄袭的内容,欢迎发送邮件进行举报,并提供相关证据,一经查实,本社区将立刻删除涉嫌侵权内容,举报邮箱: cloudbbs@huaweicloud.com
  • 点赞
  • 收藏
  • 关注作者

评论(0

0/1000
抱歉,系统识别当前为高风险访问,暂不支持该操作

全部回复

上滑加载中

设置昵称

在此一键设置昵称,即可参与社区互动!

*长度不超过10个汉字或20个英文字符,设置后3个月内不可修改。

*长度不超过10个汉字或20个英文字符,设置后3个月内不可修改。