WAF使用特定的回源IP段,将经过防护引擎检测后的正常流量转发回网站域名的源站服务器。网站接入WAF进行防护后,您需要将回源IP段添加到源站安全软件的白名单中,放行该回源IP段。
为什么要放行回源IP段
WAF采用CNAME的方式将原本去向网站的请求转向到WAF,从而实现对网站访问的安全防护,这些用户请求将在WAF进行安全检测和过滤后,发送回源站。此时由于网站接入WAF,访问网站的IP实际上变成了WAF的回源IP段,从网站的角度来看,访问其的来源IP变得更加集中,访问频率变得更高,服务器上的防火墙或安全软件很容易认为这些IP在发起攻击,从而将WAF回源IP段拉黑。如果WAF的回源IP段被拉黑,WAF的请求将无法得到源站的正常响应。因此,在网站接入WAF后,您应确保源站服务器已将WAF的全部回源IP放行(即加入白名单),否则可能会出现网站无法打开或打开极其缓慢等情况。
注意将源站加入白名单的操作需要将源站的回源IP加入到业务整个访问链路上所有安全设备的白名单,例如边界防火墙白名单、IPS设备白名单、源站服务器中的安全组白名单以及服务器上具备访问控制能力的安全软件的白名单等。
获取WAF回源IP段
-
登录天翼云控制中心。
-
单击页面顶部的区域选择框,选择区域。
-
在产品服务列表页,选择“安全 > Web应用防火墙(原生版)”。
-
在左侧导航栏,选择“域名接入”,进入域名列表页面,定位到已添加的域名,点击操作列的“详情”,进入“域名详情”页。
-
在“域名详情”页Web应用防火墙信息栏中,复制WAF回源IP地址。
放行WAF回源IP段
将获取到的WAF回源IP地址添加到源站安全软件的白名单中。
注意
为了保证您的业务安全性,建议您在放行回源IP段时,仅配置入方向的放行策略,将回源IP段加入白名单,这样能够保证出方向的数据依然能够被WAF检测,从而避免攻击者绕过WAF直接对源站进行攻击。
请注意,如果没有将回源IP段添加到白名单列表,将会导致通过WAF回源的正常业务请求被拦截,导致业务无法正常提供服务。