更新时间:2025-07-01 GMT+08:00
放行WAF回源IP
解释说明
回源IP是WAF用来代理客户端请求服务器时用的源IP,在服务器看来,接入WAF后所有源IP都会变成WAF的回源IP,而真实的客户端地址会被加在HTTP头部的XFF字段中。建议您在源站服务器上配置只放行WAF回源IP全部端口的访问控制策略,防止黑客获取源站IP后绕过WAF直接攻击源站,以确保源站安全、稳定、可用。
- WAF的回源IP会因为扩容/新建集群而增加,对于一个客户的存量域名,一般回源IP会固定在2~4个集群的几个C类IP地址(192.0.0.0~223.255.255.255)上。
- 一般情况下,在没有灾备切换或其他调度切换集群的场景下,回源IP不会变。且WAF后台做集群切换时,会探测源站安全组配置,确保不会因为安全组配置导致业务整体故障。
图1 回源IP
操作步骤
- 单击
,复制所有的回源IP。 - 打开源站服务器上的安全软件,将复制的IP段添加到白名单。
- 源站服务器部署在华为云ECS上,请参考源站服务器部署在ECS上,放行WAF回源IP进行操作。
- 源站服务器部署在华为云ELB上,请参考源站服务器部署在华为云ELB上,放行WAF回源IP进行操作。
- 如果您同时使用了华为云云防火墙(CFW),请参考添加防护规则放行WAF的回源IP。
- 如果后端资源在其他云厂商,请在对应安全组、访问控制等中添加信任WAF的回源IP。
- 如果源站服务器只安装了个人版杀毒软件,通常这些软件没有配置加白IP的界面。如果是对外提供Web业务的服务器,建议您安装服务器版本的企业安全软件,或华为云主机安全服务产品,这些产品会识别一些请求量较大的IP的socket,并偶发断开连接,一般情况下不会拦截WAF的回源IP。
源站服务器部署在ECS上,放行WAF回源IP
如果您的源站服务器直接部署在华为云ECS上,请参考以下操作步骤设置安全组规则,只放行WAF回源IP段。
- 单击页面左上方的
,选择。 - 在目标ECS所在行的“名称/ID”列中,单击目标ECS实例名称,进入ECS实例的详情页面。
- 选择“安全组”页签,单击目标安全组。
- 在安全组基本信息页面,选择“入方向规则”页签,单击“添加规则”。
- 在“添加入方向规则”对话框,完成以下参数配置。图2 添加入方向规则
表1 入方向规则参数配置说明 参数
配置说明
优先级
安全组规则优先级,保持默认即可。
策略
安全组规则策略,配置为“允许”。
类型
设置源站IP地址类型。
协议端口
安全组规则作用的协议和端口。当前场景中,协议选择“自定义TCP”,端口填写为空或1-65535,表示放行回源IP(段)的全部端口。
关于协议和端口的详细说明如下:
源地址
逐一添加1中复制的所有WAF回源IP(段)的“IP地址/掩码”。
说明:一条规则配置一个IP。单击“增加1条规则”,可配置多条规则,最多支持添加10条规则。
- 单击“确定”,安全组规则添加完成。
成功添加安全组规则后,安全组规则将允许WAF回源IP段的所有入方向流量。
