部署场景为DDoS+WAF，请参考如何在启用 Web应用防火墙 后获取访问者真实IP获取七层协议（HTTP）真实源IP。 原理说明 通常情况下，经过高防的流量会修改真实源IP与高防IP（由真实源IP->高防IP转换为回源IP->源站IP），用户在自己的源站 服务器 上看到的流量源IP是回源IP，如图1所示。

查看更多 →

真实IP。当您因为业务需要获取客户端真实IP时，可以通过配置网站服务器获取客户端的真实IP。 代理服务器（CDN、WAF等）在把用户的HTTP、WebSocket、WSS请求转到下一环节的服务器时，会在头部中加入一条“X-Forwarded-For”记录，用来记录用户的真实IP，

查看更多 →

取不到IP地址；另外，nat64下，ELB是IPv4的监听器，也读不到ipv6地址。 通过WAF直接获取客户端真实IP 网站接入WAF后，WAF作为一个反向代理部署于客户端和服务器之间，实现网站安全防护。WAF获取真实IP原则请参见WAF获取真实IP是从报文中哪个字段获取到的?。

查看更多 →

获取客户端真实IP 操作场景 一般情况下，共享型ELB会使用100.125网段的IP和后端服务器进行通信。如果您想要获取客户端的真实IP，您可以开启“获取客户端IP”功能，此时，ELB和后端服务器之间直接使用真实的IP进行通信。 目前，共享型负载均衡对“获取客户端IP”功能的支持情况如表1。

查看更多 →

WAF获取真实IP是从报文中哪个字段获取到的? WAF引擎会根据防护规则确定是否代理转发请求去后端，如果WAF配置了基于IP的规则（比如黑白名单、地理位置、基于IP的精准访问防护规则），那么WAF引擎就会获取真实IP后才能放行或者拦截代理请求。获取真实IP的方法基于以下原则： 在

查看更多 →

Forwarded-For：访问者的真实IP，代理服务器1-IP， 代理服务器2-IP，代理服务器3-IP，……”。 因此，访问者的真实IP可以通过获取“X-Forwarded-For”对应的第一个IP来得到。 可参考最佳实践获取访问者真实IP。 父主题： 使用说明类

查看更多 →

or的方式获取来访者的真实IP地址。 配置详情见七层服务。 四层服务（TCP/UDP协议），有两种方式可以获取客户端的真实IP： 方法一：开启监听器的“获取客户端IP”功能。 方法二：配置TOA插件获取。 配置详情见四层服务。 约束与限制 如果IP经过NAT，则只能获取到NAT转

查看更多 →

通过跨VPC后端功能添加的后端服务器，默认开启的获取客户端IP功能会失效。请使用TOA模块获取客户端IP地址。 其他获取客户端真实IP方法 负载均衡的监听器还可通过如下补充方法获取客户端的真实IP，详情见表2。 表2 独享型负载均衡获取客户端真实IP补充方法 监听器类型 其他获取客户端真实IP方法 四层（TCP）监听器

查看更多 →

在APIG实例中，将“real_ip_from_xff”开关打开，并设置参数运行值为“1”。 客户从公网客户端访问WAF时，WAF会在HTTP头部“X-Forwarded-For”中记录用户的真实IP，APIG需要据此解析出用户的真实IP。 方案二（备选）：使用DEFAULT分组实现转发功能，WAF侧通过IP访问后端服务

查看更多 →

“DDoS高防+WAF”联动，提升网站全面防护能力 基于IP限速的配置 基于Cookie字段的配置 通过配置反爬虫防护策略阻止爬虫攻击 Web基础防护功能最佳实践 “CDN+WAF”联动，提升网站防护能力和访问速度 “独享WAF+7层ELB”联动，实现防护任意非标端口 配置Accept

查看更多 →

查询项目id为project_id的WAF回源IP信息。 GET https://{endpoint}/v1/{project_id}/waf/config/source-ip 响应示例 状态码： 200 WAF回源IP信息 { "source_ip" : [ { "ips" : [ "122

查看更多 →

代理”，IP标记功能才能生效。 该字段用于保存客户端的真实IP地址，可自定义字段名且支持配置多个字段（多个字段名以英文逗号隔开），配置后，WAF优先从配置的字段中获取客户端真实IP（配置多个字段时，WAF从左到右依次读取）。 须知： 如果想以TCP连接IP作为客户端IP，“IP标

查看更多 →

DDoS高防支持在Windows源站获取真实IP吗？ DDoS高防目前仅支持在Linux源站获取真实IP。有关在Linux源站获取真实IP的详细操作，请参见如何获取真实源IP。 父主题： 产品咨询

查看更多 →

使用说明类 接入WAF后为什么 漏洞扫描工具 扫描出未开通的非标准端口？ 多Project下使用Web应用防火墙的限制条件？ 如何获取访问者真实IP？ Web应用防火墙切换为Bypass模式后会放行流量吗 ？ 已使用华为云APIG还需要购买WAF吗？ 本地文件包含和远程文件包含是指什么？

查看更多 →

事件的“目的IP”为源站服务器的私网IP，“源IP”为流量入口（如Nginx服务器）的私网IP。 流量经过反向代理后，源IP被转换为回源IP，此时如果受到外部攻击，CFW无法获取到攻击者的真实IP地址，您可通过X-Forwarded-For字段获取真实IP地址，请参见查看X-Forwarded-For。

查看更多 →

服务加入Istio后，如何获取客户端真实源IP？ 问题现象 服务启用Istio后，访问日志中无法获取到客户端源IP。 解决方案 本文以绑定ELB类型Service的nginx应用为例，详细步骤如下： ELB侧开启获取客户端IP 独享型ELB默认开启源地址透传功能，无需手动开启。 登录弹性负载均衡ELB的管理控制台。

查看更多 →

防护Web业务 单独使用WAF的配置指导 同时部署DDoS高防和WAF的配置指导 同时部署CDN和WAF的配置指导 网站防护配置建议 CDN回源OBS桶场景下连接WAF TLS协议最佳实践 源站保护最佳实践 获取访问者真实IP 02 购买 针对不同的应用场景，您可以灵活选择WAF的服务版本、域名扩展包、带宽扩展包。

查看更多 →

Web应用防火墙支持哪些工作模式和防护模式？ 域名接入WAF后，WAF作为一个反向代理部署在客户端和服务器之间，服务器的真实IP被隐藏起来，Web访问者只能看到WAF的IP地址。 WAF支持以下几种工作模式： 开启防护 暂停防护 Bypass 如果“部署模式”为“云模式”的网站在

查看更多 →

若用户的服务器在使用其他网络防火墙，请将其关闭或者将WAF的IP网段添加到网络防火墙的IP白名单中，否则，其他防火墙容易将WAF的IP当成恶意IP。具体的操作请参见如何放行WAF回源IP段？。 若用户的服务器上已安装个人版安全软件，建议将其更换为企业版安全软件，并将WAF的IP网段添加到该软件的IP白名单中。

查看更多 →

AME”值。 域名接入WAF后，WAF作为一个反向代理存在于客户端和服务器之间，服务器的真实IP被隐藏起来，Web访问者只能看到WAF的IP地址。 收集防护域名的配置信息 在添加防护域名前，请获取防护域名如表2所示相关信息。 表2 准备防护域名相关信息 获取信息 参数 说明 示例

查看更多 →

如何判断源站是否存在泄漏风险？ 如何配置访问控制策略保护源站安全？ 获取客户端真实IP 获取客户端真实IP 介绍通过WAF直接获取真实IP的方法，以及不同类型的Web应用服务器（包括Tomcat、Apache、Nginx、IIS 6和IIS 7）如何进行相关设置，以获取客户端的真实IP。 安全与治理 Web网站基础安全防护

查看更多 →