源站保护最佳实践
正确配置源站ECS的安全组和ELB的白名单,可以防止黑客直接攻击您的源站IP。本文介绍了源站服务器保护的相关配置方法。

源站保护不是必须的。没有配置源站保护不会影响正常业务转发,但可能导致攻击者在源站IP暴露的情况下,绕过Web应用防火墙直接攻击您的源站。
如何确认源站泄露
您可以在非华为云环境直接使用Telnet工具连接源站公网IP地址的业务端口(或者直接在浏览器中输入访问Web应用的IP),观察是否建立连接成功。如果可以连通,表示源站存在泄露风险,一旦黑客获取到源站公网IP就可以绕过WAF直接访问;如果无法连通,则表示当前不存在源站泄露风险。
例如,测试已接入WAF防护的源站IP对外开放的端口是否能成功建立连接,测试结果显示端口可连通,说明存在源站泄露风险。


在配置源站保护前,请确保该ECS或ELB实例上的所有网站域名都已经接入Web应用防火墙,保证网站能正常访问。
配置安全组存在一定风险,避免出现以下问题:
- 您的网站设置了Bypass回源,但未取消安全组和网络ACL等配置,这种情况下,可能会导致源站无法从公网访问。
- 当Web应用防火墙集群扩容新的回源网段时,如果源站已配置安全组防护,可能会导致频繁出现5xx错误。
配置步骤
验证
源站保护配置完成后,您可以通过测试已接入WAF防护的源站IP对应的业务端口是否能成功建立连接验证配置是否生效。如果显示端口无法直接连通,但网站业务仍可正常访问,则表示源站保护配置成功。
相关文档
相关产品
