更新时间:2024-05-30 GMT+08:00
CFW与WAF、DDoS高防、CDN同时使用时的注意事项
本文介绍云防火墙在网络架构中的位置,以及与其他华为云服务一起使用时,云防火墙上的策略配置和注意事项。
应用场景
当购买了华为云的其他产品后,业务流量会经过多道防护,可能会存在开启反向代理导致IP地址发生转换的场景。
在对入云流量进行防护时,如果CFW前存在反向代理服务(即购买了CDN、DDoS高防或云模式WAF),需配置放行回源IP策略,请参见配置策略,购买独享模式WAF或ELB模式WAF时,按业务需要配置即可。
流量经过反向代理后,源IP被转换为回源IP,此时如果受到外部攻击,CFW无法获取到攻击者的真实IP地址,您可通过X-Forwarded-For字段获取真实IP地址,请参见查看X-Forwarded-For。
流量走势
Web应用防火墙(WAF)、DDoS高防(Advanced Anti-DDoS)、内容分发网络(CDN)会对用户的流量进行反向代理,部署后,CFW接收到的源IP为上述服务的回源IP。
WAF分为三种模式:云模式、独享模式和ELB模式,不同的模式,架构位置不同;DDoS高防和CDN部署位置固定。
配置策略
- 建议您创建一条“优先级”“置顶”的“放行”策略,放行所有回源IP;配置后CFW仍会对流量进行检测,进一步保证您的流量安全。
- 如果将回源IP加入“白名单”;配置后,这些流量将被直接放通,CFW不再进行任何防护。
请避免将回源IP加入黑名单或阻断的防护策略中,否则将会阻断来自这个IP的所有流量,影响您的业务。
- 添加防护规则请参见添加防护规则。
- 设置白名单请参见管理黑/白名单。
- CFW的防护顺序请参见云防火墙的防护顺序是什么?
- 获取Web应用防火墙的回源IP,请参见步骤二:放行WAF回源IP
- 获取DDoS高防的回源IP,请参见如何查看高防回源IP段?
查看X-Forwarded-For
- 登录管理控制台。
- 单击管理控制台左上角的,选择区域。
- 在左侧导航树中,单击左上方的,选择 ,进入云防火墙的概览页面。
- (可选)切换防火墙实例:在页面左上角的下拉框中切换防火墙。
- 在左侧导航树中,选择“攻击事件日志”页面,在对应事件的“操作”列,单击“查看”。
。进入图1 查看攻击事件日志详情
- 在“详情”中,切换至“攻击payload”页签,获取X-Forwarded-For字段。
- 方法一:在“载荷内容”中查看X-Forwarded-For(从客户端到最后一个代理服务器的所有地址IP)。
图2 载荷内容中X-Forwarded-For
- 方法二:复制“载荷内容”,通过Base64工具,获得解码结果:
- X-Forwarded-For:从客户端到最后一个代理服务器的所有地址IP
例如,通过图 Base64解码结果可得真实客户端的IP为xx.xx.xx.89,只经过云模式WAF的一层代理。
- 方法一:在“载荷内容”中查看X-Forwarded-For(从客户端到最后一个代理服务器的所有地址IP)。