设置源站保护

 

网站已接入Web应用防火墙进行防护后，您可以设置源站服务器的访问控制策略，只放行Web应用防火墙回源IP段的入方向流量，防止黑客获取您的源站IP后绕过Web应用防火墙直接攻击源站。本文介绍了源站服务器部署在云服务器ECS、负载均衡SLB时，如何设置对应的安全组规则和白名单策略。

前提条件

• 源站服务器部署在云服务器ECS、负载均衡SLB，且源站ECS实例、SLB实例上的所有网站域名都已经接入Web应用防火墙进行防护。更多信息，请参见添加域名。
• 网站的访问流量已经成功解析到Web应用防火墙进行防护，即在Web应用防火墙控制台查看到网站域名的DNS解析状态正常。更多信息，请参见检测DNS解析状态。

风险须知

网站已接入Web应用防火墙进行防护后，无论您是否设置源站保护，都不影响正常业务的转发。设置源站保护可以帮助您预防攻击者在源站IP暴露的情况下，绕过Web应用防火墙直接攻击您的源站。关于如何判断源站是否存在IP泄露风险，请参见相关问题。

配置源站服务器的访问控制策略存在一定风险。在设置源站保护前，请注意以下事项：

• 请确保源站ECS实例、SLB实例上的所有网站域名都已经接入Web应用防火墙进行防护。
• 当Web应用防火墙集群出现故障时，可能会将域名访问请求旁路回源至源站，确保网站正常访问。这种情况下，如果源站已设置ECS安全组、SLB白名单防护，则可能会导致源站无法从公网访问。
• 当Web应用防火墙集群扩容增加新的回源网段时，如果源站已设置ECS安全组、SLB白名单防护，可能会导致频繁出现5xx错误。

获取Web应用防火墙回源IP段

注意 Web应用防火墙回源IP网段会定期更新，请关注定期变更通知，及时将更新后的回源IP网段添加至相应的安全组、白名单规则中，避免出现误拦截。

1. 登录Web应用防火墙控制台。
2. 在顶部菜单栏，选择Web应用防火墙实例的资源组和地域（中国内地、海外地区）。
3. 在左侧导航栏，单击系统管理 > 产品信息。
4. 在产品信息页面底部，定位到回源IP段区域，单击复制全部IP。
   回源IP段区域实时显示最新的Web应用防火墙回源IP段。

设置ECS安全组规则

如果您的源站服务器直接部署在云服务器ECS实例上，请在获取Web应用防火墙回源IP段后，参照以下步骤设置源站ECS实例的安全组规则。通过设置安全组规则，只允许Web应用防火墙回源IP段的入方向流量。

1. 登录云服务器ECS控制台。
2. 在左侧导航栏，单击实例与镜像 > 实例。
3. 在顶部菜单栏，选择ECS实例的资源组和地域。
4. 在实例列表，定位到要操作的实例，单击其操作列下的更多 > 网络和安全组 > 安全组配置。
5. 定位到要设置的安全组，单击其操作列下的配置规则。
6. 单击添加安全组规则。
7. 在添加安全组规则对话框，完成以下规则配置，并单击确定。

   参数	说明
   网卡类型	默认与ECS实例的网络类型保持一致。 ECS实例的网络类型为专有网络时，默认为内网。 ECS实例的网络类型为经典网络时，网卡类型需要设置为公网。
   规则方向	选择入方向。
   授权类型	选择允许。
   协议类型	选择自定义TCP。
   端口范围	输入80/443。
   优先级	输入1，表示优先级最高。
   授权类型	选择IPv4地址段访问。
   授权对象	粘贴已获取的Web应用防火墙回源IP段。 授权对象支持使用类似“10.x.x.x/32”的IP网段格式。多个授权对象间使用英文逗号（,）分隔。每个安全组规则最多支持添加10个授权对象。 说明 建议您将所有Web应用防火墙回源IP分成多组（每组包含的IP段数量不超过10个），并添加多个安全组策略进行授权。
   描述	自定义描述信息。示例：允许Web应用防火墙回源IP段入方向流量。

   成功添加安全组规则后，以上安全组规则将以最高优先级允许Web应用防火墙回源IP段的所有入方向流量。

   警告 请务必确保所有Web应用防火墙回源IP段都已通过源站ECS实例的安全组规则设置了入方向的允许策略，否则可能导致网站访问异常。
8. 再次添加一条优先级最低的安全组规则，拒绝所有IP段的入方向流量。
   具体规则配置如下表所示。

   参数	说明
   网卡类型	默认与ECS实例的网络类型保持一致。 ECS实例的网络类型为专有网络时，默认为内网。 ECS实例的网络类型为经典网络时，网卡类型需要设置为公网。
   规则方向	选择入方向。
   授权类型	选择拒绝。
   协议类型	选择自定义TCP。
   端口范围	输入80/443。
   优先级	输入100，表示优先级最低。
   授权类型	选择IPv4地址段访问。
   授权对象	输入0.0.0.0/0，表示所有IP段。
   描述	自定义描述信息。示例：拒绝所有入方向流量，优先级100。

说明 如果当前安全组防护的服务器还与其他的IP或应用存在交互，需要将这些交互的IP和端口通过安全组一并加白放行，或者在最后添加一条优先级最低的全端口放行策略。

开启SLB访问控制

如果您的源站服务器部署了负载均衡SLB，请在获取Web应用防火墙回源IP段后，参照以下步骤设置SLB实例的访问控制（白名单）策略。通过开启访问控制（白名单），只允许Web应用防火墙回源IP段的入方向流量。

1. 登录负载均衡SLB控制台。
2. 在左侧导航栏，单击访问控制。
3. 单击创建访问控制策略组。
4. 在创建访问控制策略组页面，完成以下策略组配置，并单击确定。

   参数	说明
   策略组名称	自定义策略组名称。示例：Web应用防火墙回源IP段。
   所属资源组	选择策略组所属资源组。
   IP版本	选择IPv4。
   批量添加IP地址/地址段和备注	粘贴所有Web应用防火墙回源IP。 每行只允许输入一个条目。多个条目间以回车分隔。 说明 由于复制获取的所有Web应用防火墙回源IP段之间以英文逗号（,）分隔，建议您使用支持扩展替换的文本编辑器（例如notepad、word等），将英文逗号（,）统一替换为换行符（\n）再进行粘贴。

5. 在左侧导航栏，单击实例 > 实例管理。
6. 在实例管理列表，定位到要操作的实例，单击其ID。
7. 在监听列表，定位到要设置的监听，单击其操作列下的 > 设置访问控制。
8. 在访问控制设置页面，开启启动访问控制开关，完成以下设置，并单击确定。

   参数	说明
   访问控制方式	选择白名单：允许特定IP访问负载均衡SLB。
   选择访问控制策略组	选择Web应用防火墙回源IP对应的访问控制策略组。

后续操作

完成ECS安全组、SLB白名单设置后，您可以通过测试源站IP的80端口和8080端口是否能成功建立连接，验证设置是否生效。

如果显示端口无法直接连通，但网站业务仍可正常访问，则表示源站保护已设置成功。