源站保护最佳实践

如何确认源站泄露

您可以在非华为云环境直接使用Telnet工具连接源站公网IP地址的业务端口（或者直接在浏览器中输入访问Web应用的IP），观察是否建立连接成功。如果可以连通，表示源站存在泄露风险，一旦黑客获取到源站公网IP就可以绕过WAF直接访问；如果无法连通，则表示当前不存在源站泄露风险。

例如，测试已接入WAF防护的源站IP对外开放的端口是否能成功建立连接，测试结果显示端口可连通，说明存在源站泄露风险。

图1 测试源站泄露风险

在配置源站保护前，请确保该ECS或ELB实例上的所有网站域名都已经接入Web应用防火墙，保证网站能正常访问。

配置安全组存在一定风险，避免出现以下问题：

• 您的网站设置了Bypass回源，但未取消安全组和网络ACL等配置，这种情况下，可能会导致源站无法从公网访问。
• 当Web应用防火墙集群扩容新的回源网段时，如果源站已配置安全组防护，可能会导致频繁出现5xx错误。

配置步骤

1. 登录华为云控制台。
2. 单击页面左上方的，在右侧弹框中选择“安全 > Web应用防火墙”，在左侧导航树中选择“域名配置”，进入“域名配置”页面。
3. 单击“Web应用防火墙回源IP网段”，查看Web应用防火墙所有回源IP段。
   

   Web应用防火墙的回源IP网段会定期更新，及时将更新后的回源IP网段添加至相应的安全组规则中，避免出现误拦截。

   图2 回源IP网段
   

4. 在“Web应用防火墙的回源IP网段”对话框，单击“复制IP段”，复制所有回源IP。
   图3 Web应用防火墙的回源IP网段
   

5. 参照以下步骤，配置源站只允许Web应用防火墙回源IP进行访问。
   • 源站是ECS
     1. 单击页面上方的“服务列表”，选择“计算 > 弹性云服务器”，定位到需要配置安全组的ECS实例，在“名称/ID”列，单击目标ECS实例名称，进入ECS实例的详情页面，如图4所示
        图4 弹性云服务的详情页面
        
     2. 单击“安全组”页签，展开安全组，在页面的右上角，单击“更改安全组规则”，切换到本实例安全组页面，如图5所示。
        图5 添加规则
        
     3. 选择目标安全组，单击“添加规则”，进入“添加入方向规则”页面，如图6所示。
        图6 添加入方向规则
        
        • 协议/应用：TCP
        • 端口：源站的端口
        • 源地址：将步骤4中复制的所有Web应用防火墙回源IP段，逐一添加。
          

          一条规则配置一个IP。单击“增加1条规则”，可配置多条规则，最多支持添加10条规则。

        • 描述：可选参数，备注信息。
     4. 单击“确定”。
   • 源站是ELB
     1. 单击页面上方的“服务列表”，选择“网络 > 弹性负载均衡”，定位到需要配置监听器的ELB实例，在“名称”列，单击目标ELB实例名称，进入ELB实例的详情页面。
     2. 选择“监听器”页签，进入“监听器”页面，如图7所示。
        图7 监听器页面
        
     3. 在“访问控制”所在行，单击“设置”，进入“设置访问控制”页面，如图8所示。
        图8 设置访问控制
        
     4. 开启“访问控制开关”，将步骤4中复制的所有Web应用防火墙回源IP段添加到“白名单”框中，设置只允许WAF的回源IP段访问负载均衡监听器。
        

        • 开启“访问控制开关”，只允许白名单列表中的IP访问负载均衡监听器。
        • 在“白名单”框中添加IP地址或网段时，IP地址或网段以逗号隔开，不可重复。
     5. 单击“确定”。

验证

源站保护配置完成后，您可以通过测试已接入WAF防护的源站IP对应的业务端口是否能成功建立连接验证配置是否生效。如果显示端口无法直接连通，但网站业务仍可正常访问，则表示源站保护配置成功。