文档首页 > > 最佳实践> 源站保护最佳实践

源站保护最佳实践

分享
更新时间: 2019/10/21 GMT+08:00

正确配置源站ECS的安全组和ELB的白名单,可以防止黑客直接攻击您的源站IP。本文介绍了源站服务器保护的相关配置方法。

源站保护不是必须的。没有配置源站保护不会影响正常业务转发,但可能导致攻击者在源站IP暴露的情况下,绕过Web应用防火墙直接攻击您的源站。

如何确认源站泄露

您可以在非华为云环境直接使用Telnet工具连接源站公网IP地址的业务端口(或者直接在浏览器中输入访问Web应用的IP),观察是否建立连接成功。如果可以连通,表示源站存在泄露风险,一旦黑客获取到源站公网IP就可以绕过WAF直接访问;如果无法连通,则表示当前不存在源站泄露风险。

例如,测试已接入WAF防护的源站IP对外开放的端口是否能成功建立连接,测试结果显示端口可连通,说明存在源站泄露风险。

图1 测试源站泄露风险

在配置源站保护前,请确保该ECS或ELB实例上的所有网站域名都已经接入Web应用防火墙,保证网站能正常访问。

配置安全组存在一定风险,避免出现以下问题:

  • 您的网站设置了Bypass回源,但未取消安全组和网络ACL等配置,这种情况下,可能会导致源站无法从公网访问。
  • 当Web应用防火墙集群扩容新的回源网段时,如果源站已配置安全组防护,可能会导致频繁出现5xx错误。

配置步骤

  1. 登录华为云控制台。
  2. 单击页面上方的“服务列表”,选择安全 > Web应用防火墙,在左侧导航树中选择“域名配置”,进入“域名配置”页面。
  3. 单击“Web应用防火墙回源IP网段”,查看Web应用防火墙所有回源IP段。

    Web应用防火墙的回源IP网段会定期更新,及时将更新后的回源IP网段添加至相应的安全组规则中,避免出现误拦截。

    图2 回源IP网段

  4. “Web应用防火墙的回源IP网段”对话框,单击“复制IP段”,复制所有回源IP。

    图3 Web应用防火墙的回源IP网段

  5. 参照以下步骤,配置源站只允许Web应用防火墙回源IP进行访问。

    • 源站是ECS
      1. 单击页面上方的“服务列表”,选择计算 > 弹性云服务器,定位到需要配置安全组的ECS实例,在“名称/ID”列,单击目标ECS实例名称,进入ECS实例的详情页面,如图4所示
        图4 弹性云服务的详情页面
      2. 单击“安全组”页签,展开安全组,在页面的右上角,单击“更改安全组规则”,切换到本实例安全组页面,如图5所示。
        图5 添加规则
      3. 选择目标安全组,单击“添加规则”,进入“添加入方向规则”页面,如图6所示。
        图6 添加入方向规则
        • 协议/应用:TCP
        • 端口:源站的端口
        • 源地址:将步骤4中复制的所有Web应用防火墙回源IP段,逐一添加。

          一条规则配置一个IP。单击“增加1条规则”,可配置多条规则,最多支持添加10条规则。

        • 描述:可选参数,备注信息。
      4. 单击“确定”
    • 源站是ELB
      1. 单击页面上方的“服务列表”,选择网络 > 弹性负载均衡,定位到需要配置监听器的ELB实例,在“名称”列,单击目标ELB实例名称,进入ELB实例的详情页面。
      2. 选择“监听器”页签,进入“监听器”页面,如图7所示。
        图7 监听器页面
      3. “访问控制”所在行,单击“设置”,进入“设置访问控制”页面,如图8所示。
        图8 设置访问控制
      4. 开启“访问控制开关”,将步骤4中复制的所有Web应用防火墙回源IP段添加到“白名单”框中,设置只允许WAF的回源IP段访问负载均衡监听器。
        • 开启“访问控制开关”,只允许白名单列表中的IP访问负载均衡监听器。
        • “白名单”框中添加IP地址或网段时,IP地址或网段以逗号隔开,不可重复。
      5. 单击“确定”

验证

源站保护配置完成后,您可以通过测试已接入WAF防护的源站IP对应的业务端口是否能成功建立连接验证配置是否生效。如果显示端口无法直接连通,但网站业务仍可正常访问,则表示源站保护配置成功。

分享:

    相关文档

    相关产品

文档是否有解决您的问题?

提交成功!

非常感谢您的反馈,我们会继续努力做到更好!

反馈提交失败,请稍后再试!

*必选

请至少选择或填写一项反馈信息

字符长度不能超过200

提交反馈 取消

如您有其它疑问,您也可以通过华为云社区问答频道来与我们联系探讨

跳转到云社区