全部產品
Search
文件中心

Web Application Firewall:設定來源站點保護

更新時間:Jul 01, 2024

CNAME接入模式下,網站的業務流量經過WAF防護後流回來源站點。若來源站點IP泄露則攻擊者會繞過WAF直接攻擊來源站點。您可以為來源站點伺服器配置存取控制策略,只允許存取WAF回源IP段入方向的流量來保護來源站點。本文以部署了阿里雲Server Load Balancer的ECS伺服器為例,講解如何配置存取控制策略。

說明
  • 網站接入WAF防護後,無論您是否設定來源站點保護,都不影響正常業務的轉寄。

  • 如果您使用透明接入方式,將來源站點阿里雲伺服器ECS和Server Load Balancer的業務流量接入WAF防護,引流連接埠的所有流量都會被牽引到WAF防護,攻擊者無法繞過WAF直接攻擊來源站點。因此,您無需設定來源站點保護。

風險須知

配置來源站點伺服器的存取控制策略存在一定風險。在設定來源站點保護前,請注意以下事項:

  • 請確保同一來源站點ECS執行個體或SLB執行個體上的所有網域名稱都已經接入WAF進行防護,避免攻擊者通過未接入WAF的網域名稱入侵來源站點,從而影響其他網域名稱業務。

  • 在WAF叢集出現故障時,WAF可能會將網域名稱訪問請求旁路回源至來源站點,確保網站正常訪問。這種情況下,如果來源站點已設定ECS安全性群組或SLB白名單存取控制策略,可能會導致來源站點暫時無法通過公網訪問。

  • 當WAF叢集擴容增加新的回源IP段時,如果來源站點已設定ECS安全性群組或SLB白名單防護,可能會導致頻繁出現5XX錯誤響應。建議您定期關注Web Application Firewall控制台發布的回源網段變更通知,及時更新涉及回源IP網段的存取控制策略。

  • 如果您不再使用WAF,在將業務流量切回來源站點伺服器之前,請務必先刪除已添加的存取控制策略,允許存取所有業務流量,避免業務流量切回後出現業務中斷。

前提條件

  • 確認來源站點伺服器為阿里雲伺服器ECS,並部署Server Load Balancer。更多資訊,請參見Elastic Compute ServiceServer Load Balancer

  • 來源站點ECS執行個體或SLB執行個體上的所有網域名稱都已經通過CNAME接入方式接入WAF防護。具體操作,請參見添加網域名稱

步驟一:檢測來源站點是否存在IP暴露風險

您可以在非阿里雲環境直接使用Telnet工具串連來源站點公網IP地址的業務連接埠,檢測是否能夠成功建立串連:

  • 如果可以連通,表示來源站點存在IP泄露風險,一旦駭客擷取到來源站點公網IP就可以繞過WAF直接存取來源站點。

  • 如果無法連通,表示來源站點當前不存在IP泄露風險。

樣本:測試已接入WAF進行防護的來源站點IP的80連接埠和8080連接埠是否能成功建立串連。以下截圖中的測試結果顯示連接埠可以連通,說明來源站點存在IP泄露風險。連接埠可連通,waf

步驟二:擷取WAF回源IP段

重要

WAF回源IP段會定期更新,請關註定期變更通知,及時將更新後的回源IP段添加至相應的安全性群組或白名單規則中,避免出現誤攔截。

  1. 登入Web Application Firewall控制台,在頂部功能表列,選擇WAF執行個體的資源群組和地區(中國內地非中國內地)。

  2. 在左側導覽列,選擇系統管理 > 產品資訊

  3. 產品資訊頁面右下方的回源IP段地區,單擊複製全部IP

    回源IP段地區即時顯示WAF回源IP段。

步驟三:設定ECS安全性群組規則

如果您的來源站點伺服器為Elastic Compute Service,請在擷取WAF回源IP段後,參照以下步驟設定來源站點ECS執行個體的安全性群組規則,只允許存取WAF回源IP段的入方向流量,拒絕所有其他IP段的入方向流量。

  1. 進入安全性群組頁面。

    1. 登入ECS管理主控台

    2. 在左側導覽列,選擇網路與安全 > 安全性群組

    3. 在頂部功能表列左上方處,選擇地區。

  2. 找到目標安全性群組,在操作列中,單擊管理規則

  3. 選擇安全性群組規則所屬的方向。

    • 如果安全性群組的網路類型為專用網路,請選擇入方向出方向

    • 如果安全性群組的網路類型為傳統網路,請選擇入方向出方向公網入方向公網出方向

  4. 添加一條優先順序最高的安全性群組規則,允許存取WAF回源IP段的入方向流量。

    1. 訪問規則地區的入方向頁簽下,單擊手動添加

    2. 完成以下規則配置,並單擊儲存

      配置項

      說明

      授權策略

      選擇允許

      優先順序

      輸入1,表示優先順序最高。

      協議類型

      選擇自訂TCP

      連接埠範圍

      選擇HTTP(80)HTTPS(443)

      授權對象

      將已複製的WAF回源IP段粘貼到輸入框。

      描述

      自訂描述資訊。樣本:允許存取WAF回源IP。

      重要

      如果當前安全性群組防護的伺服器與WAF回源IP以外的其他IP、HTTP或HTTPS以外的其他應用有互動,請將這些互動IP和連接埠通過安全性群組一併加白允許存取。

      成功添加該安全性群組規則後,ECS執行個體安全性群組將以最高優先順序允許存取WAF回源IP段的所有入方向流量。

      警告

      請務必確保所有WAF回源IP段都已通過來源站點ECS執行個體的安全性群組規則設定了入方向的允許策略,否則可能導致網站訪問異常。

  5. 添加一條優先順序最低的安全性群組規則,拒絕其餘所有IP段的入方向流量。

    1. 訪問規則地區的入方向頁簽下,單擊手動添加

    2. 完成以下規則配置,並單擊儲存

      配置項

      說明

      授權策略

      選擇拒絕

      優先順序

      輸入100,表示優先順序最低。

      協議類型

      選擇自訂TCP

      連接埠範圍

      選擇HTTP(80)HTTPS(443)

      授權對象

      在源輸入框,輸入0.0.0.0/0(表示所有IP段)並按斷行符號鍵。

      描述

      自訂描述資訊。樣本:拒絕所有入方向流量。

      成功添加該安全性群組規則後,ECS執行個體安全性群組除了允許存取WAF回源IP段的入方向流量外,還將拒絕所有其他IP段的入方向流量,保證所有業務流量都經WAF轉寄到來源站點ECS執行個體。

步驟四:設定SLB存取控制

如果您的來源站點伺服器部署了Server Load Balancer,您還需要設定SLB執行個體的存取控制(白名單)策略,只允許存取WAF回源IP段的入方向流量。

以下操作描述以傳統型負載平衡CLB為例進行介紹。如果您使用應用型負載平衡ALB,請結合以下操作描述及ALB存取控制文檔進行操作。

  1. 登入傳統型負載平衡CLB控制台
  2. 在頂部功能表列,選擇執行個體所屬地區。

  3. 在左側導覽列,選擇傳統型負載平衡 CLB > 存取控制

  4. 建立存取控制策略組。

    1. 存取控制頁面,單擊建立存取控制策略組

    2. 建立存取控制策略組面板,完成以下策略組配置,並單擊建立

      以下配置表示為WAF回源IP建立一個策略組。

      配置項

      說明

      策略組名稱

      自訂策略組名稱。樣本:WAF回源IP段。

      大量新增IP地址/位址區段和備忘

      粘貼所有WAF回源IP。

      每行只允許輸入一個條目。多個條目間通過斷行符號分隔。

      說明

      由於複製擷取的所有WAF回源IP段之間以半形逗號(,)分隔,建議您使用支援擴充替換的文字編輯器,將半形逗號(,)統一替換為分行符號(\n)再進行粘貼。

  5. 為監聽設定存取控制策略。

    1. 在左側導覽列,選擇傳統型負載平衡CLB(原SLB) > 執行個體管理

    2. 執行個體管理列表,定位到要操作的執行個體,單擊執行個體ID。

    3. 監聽列表,定位到要設定的監聽,在操作列下單擊更多表徵圖,然後單擊設定存取控制

      請根據已接入WAF防護的業務類型,選擇要設定的監聽:

      • 如果您已將HTTP業務接入WAF防護,則需要設定HTTP監聽。

      • 如果您已將HTTPS業務接入WAF防護,則需要設定HTTPS監聽。

      • 如果您已將HTTP和HTTPS業務接入WAF防護,則需要分別設定HTTP監聽和HTTPS監聽。

    4. 存取控制設定面板,開啟啟動存取控制開關並完成以下配置。

      配置項

      說明

      存取控制方式

      選擇白名單:允許特定IP訪問Server Load Balancer

      選擇存取控制策略組

      選擇WAF回源IP對應的存取控制策略組。

    完成以上配置後,CLB執行個體監聽將會允許存取WAF回源IP段的入方向流量。

後續操作

完成ECS安全性群組或SLB白名單設定後,您可以通過測試來源站點IP的80連接埠和8080連接埠是否能成功建立串連,驗證設定是否已生效。

如果連接埠無法直接連通,但網站業務仍可正常訪問,則表示來源站點保護已設定成功。

相關文檔