CFW与WAF、DDoS高防、CDN同时使用时的注意事项

应用场景

当购买了华为云的其他产品后，业务流量会经过多道防护，可能会存在开启反向代理导致IP地址发生转换的场景。

在对入云流量进行防护时，如果CFW前存在反向代理服务（即购买了CDN、DDoS高防或云模式WAF），需配置放行回源IP策略，请参见配置策略，购买独享模式WAF或ELB模式WAF时，按业务需要配置即可。

购买独享模式WAF时，有以下两种防护场景：

• 在CFW上对公网ELB绑定的EIP开启防护：

  此时受到来自客户端的攻击，CFW会将攻击事件打印在“攻击事件日志”的“互联网边界防火墙”页签中。

  事件的“目的IP”为公网ELB绑定的EIP地址，“源IP”为客户端的IP地址。

• 开启VPC边界防火墙，并关联了源站所在VPC，未对ELB的EIP开启防护：

  此时受到来自客户端的攻击，CFW会将攻击事件打印在“攻击事件日志”的“VPC边界防火墙”页签中。

  事件的“目的IP”为源站服务器的私网IP，“源IP”为流量入口（如Nginx服务器）的私网IP。

流量经过反向代理后，源IP被转换为回源IP，此时如果受到外部攻击，CFW无法获取到攻击者的真实IP地址，您可通过X-Forwarded-For字段获取真实IP地址，请参见查看X-Forwarded-For。

流量走势

Web应用防火墙（WAF）、DDoS高防（Advanced Anti-DDoS）、内容分发网络（CDN）会对用户的流量进行反向代理，部署后，CFW接收到的源IP为上述服务的回源IP。

WAF分为三种模式：云模式、独享模式和ELB模式，不同的模式，架构位置不同；DDoS高防和CDN部署位置固定。

配置策略

• 建议您创建一条“优先级”“置顶”的“放行”策略，放行所有回源IP；配置后CFW仍会对流量进行检测，进一步保证您的流量安全。
• 如果将回源IP加入“白名单”；配置后，这些流量将被直接放通，CFW不再进行任何防护。

请避免将回源IP加入黑名单或阻断的防护策略中，否则将会阻断来自这个IP的所有流量，影响您的业务。

• 添加防护规则请参见添加防护规则。
• 设置白名单请参见管理黑/白名单。
• CFW的防护顺序请参见云防火墙的防护顺序是什么？
• 获取Web应用防火墙的回源IP，请参见步骤二：放行WAF回源IP
• 获取DDoS高防的回源IP，请参见如何查看高防回源IP段？

查看X-Forwarded-For

1. 登录管理控制台。
2. 单击管理控制台左上角的，选择区域。
3. 在左侧导航树中，单击左上方的，选择“安全与合规 > 云防火墙”，进入云防火墙的概览页面。
4. （可选）当前账号下仅存在单个防火墙实例时，自动进入防火墙详情页面，存在多个防火墙实例时，单击防火墙列表“操作”列的“查看”，进入防火墙详情页面。
5. 在左侧导航树中，选择“日志审计 > 日志查询”。进入“攻击事件日志”页面，在对应事件的“操作”列，单击“查看”。
   图1 查看攻击事件日志详情
   

6. 在“详情”中，切换至“攻击payload”页签，获取X-Forwarded-For字段。
   • 方法一：在“载荷内容”中查看X-Forwarded-For（从客户端到最后一个代理服务器的所有地址IP）。
     图2 载荷内容中X-Forwarded-For
     
   • 方法二：复制“载荷内容”，通过Base64工具，获得解码结果：
     • X-Forwarded-For：从客户端到最后一个代理服务器的所有地址IP

     例如，通过图 Base64解码结果可得真实客户端的IP为xx.xx.xx.89，只经过云模式WAF的一层代理。

     图3 Base64解码结果示例