WAF使用特定的回源IP段,將經過防護引擎檢測後的正常流量轉寄回網站網域名稱的來源站點伺服器。網站接入WAF進行防護後,您需要將回源IP段添加到來源站點安全軟體的白名單中,允許存取該回源IP段。本文介紹如何允許存取WAF回源IP段。
操作步驟
登入Web Application Firewall控制台,在頂部功能表列,選擇WAF執行個體的資源群組和地區(中國內地、非中國內地)。
在左側導覽列,選擇。
在產品資訊頁面右下方的回源IP段地區,單擊複製全部IP。
回源IP段地區即時顯示WAF回源IP段。
將回源IP段添加到來源站點安全軟體的白名單中。
警告如果您沒有在來源站點設定允許存取WAF的回源IP段,則WAF轉寄回來源站點的正常業務請求可能會被誤攔截,導致業務中斷。
後續步驟
出於安全性考慮,建議您設定來源站點伺服器的存取控制策略,只允許WAF回源IP段的入方向流量,避免攻擊者繞過WAF直接對來源站點伺服器發起攻擊。更多資訊,請參見設定來源站點保護。
常見問題
什麼是WAF回源IP段?
回源IP段是WAF代理真實用戶端請求來源站點伺服器時使用的IP位址區段。在來源站點伺服器看來,網站接入WAF後,所有請求來源IP都會變成WAF的回源IP,而真實的用戶端IP會被添加在HTTP頭部的XFF欄位中。
為什麼要允許存取WAF回源IP段?
網站接入WAF後,由於訪問來源IP變得更加集中,訪問頻率變得更高,伺服器上的防火牆或安全軟體很容易認為這些IP在發起攻擊,從而將WAF回源IP段拉黑。如果WAF的回源IP段被拉黑,WAF的請求將無法得到來源站點的正常響應。因此,在網站接入WAF後,您應確保來源站點伺服器已將WAF的全部回源IP允許存取(即加入白名單),否則可能會出現網站無法開啟或開啟極其緩慢等情況。