為什么需要放行回源IP
網(wǎng)站以“獨享模式”成功接入WAF后，所有網(wǎng)站訪問請求將先經(jīng)過獨享引擎配置的ELB然后流轉(zhuǎn)到獨享引擎實例進(jìn)行監(jiān)控，經(jīng)獨享引擎實例過濾后再返回到源站服務(wù)器，流量經(jīng)獨享引擎實例返回源站的過程稱為回源。在服務(wù)器看來，接入WAF后所有源IP都會變成獨享引擎實例的回源IP（即獨享引擎實例對應(yīng)的子網(wǎng)IP），以防止源站IP暴露后被黑客直接攻擊。

源站服務(wù)器上的安全軟件很容易認(rèn)為獨享引擎的回源IP是惡意IP，有可能觸發(fā)屏蔽WAF回源IP的操作。一旦WAF的回源IP被屏蔽，WAF的請求將無法得到源站的正常響應(yīng)，因此，網(wǎng)站以“獨享模式”接入WAF防護(hù)后，您需要在源站服務(wù)器上設(shè)置放行創(chuàng)建的獨享引擎實例對應(yīng)的子網(wǎng)IP，不然可能會出現(xiàn)網(wǎng)站打不開或打開極其緩慢等情況。

一、回源到ECS
如果您的源站服務(wù)器直接部署在華為云ECS上，請參考以下操作步驟設(shè)置安全組規(guī)則，放行獨享模式回源IP。

登錄管理控制臺。
單擊管理控制臺左上角的，選擇區(qū)域或項目。
單擊頁面左上方的，選擇“安全與合規(guī) > Web應(yīng)用防火墻”，進(jìn)入“安全總覽”頁面。
在左側(cè)導(dǎo)航樹中，選擇“系統(tǒng)管理 > 獨享引擎”，進(jìn)入“獨享引擎”頁面。
圖1 獨享引擎列表

?在獨享引擎列表的“IP地址”欄，獲取所有創(chuàng)建的獨享引擎對應(yīng)的子網(wǎng)IP地址。
單擊頁面左上方的，選擇“計算 > 彈性云服務(wù)器 ECS”。
在目標(biāo)ECS所在行的“名稱/ID”列中，單擊目標(biāo)ECS實例名稱，進(jìn)入ECS實例的詳情頁面。
選擇“安全組”頁簽，單擊“更改安全組”。
在“更改安全組”對話框中，選擇目標(biāo)安全組或新建安全組并單擊“確定”。
單擊安全組ID，進(jìn)入安全組基本信息頁面。
選擇“入方向規(guī)則”頁簽，單擊“添加規(guī)則”，進(jìn)入“添加入方向規(guī)則”頁面，參數(shù)配置說明如表1所示。
圖2 添加入方向規(guī)則

入方向規(guī)則參數(shù)配置說明

12 、單擊“確定”，安全組規(guī)則添加完成。
成功添加安全組規(guī)則后，安全組規(guī)則將允許獨享引擎回源IP地址的所有入方向流量。

您可以使用Telnet工具測試已接入WAF防護(hù)的源站IP對應(yīng)的業(yè)務(wù)端口是否能成功建立連接驗證配置是否生效。

例如，執(zhí)行以下命令，測試已接入WAF防護(hù)的源站IP對外開放的443端口是否能成功建立連接。如果顯示端口無法直接連通，但網(wǎng)站業(yè)務(wù)仍可正常訪問，則表示安全組規(guī)則配置成功。

Telnet 源站IP 443

二、回源到ELB
1、如果您的源站服務(wù)器使用華為云ELB進(jìn)行流量分發(fā)，請參考以下操作步驟設(shè)置訪問控制（白名單）策略，只放行獨享模式回源IP。

2、登錄管理控制臺。
單擊頁面左上方的，選擇“安全與合規(guī) > Web應(yīng)用防火墻”，進(jìn)入“安全總覽”頁面。
3、在左側(cè)導(dǎo)航樹中，選擇“系統(tǒng)管理 > 獨享引擎”，進(jìn)入“獨享引擎”頁面。
圖3 獨享引擎列表

4、 在獨享引擎列表的“IP地址”欄，獲取所有創(chuàng)建的獨享引擎對應(yīng)的子網(wǎng)IP地址。
5、單擊頁面左上方的，選擇“網(wǎng)絡(luò) > 彈性負(fù)載均衡”。
6、在獨享引擎綁定的ELB所在行的“名稱”列中，單擊ELB名稱，進(jìn)入ELB的詳情頁面。
7、在目標(biāo)監(jiān)聽器所在行的“訪問控制”列，單擊“設(shè)置”。

8、 在彈出的對話框中，“訪問控制”選擇“白名單”。
單擊“創(chuàng)建IP地址組”，將4中獨享引擎實例的回源IP地址添加到“IP地址組”。
在“IP地址組”的下拉框中選擇8.a中創(chuàng)建的IP地址組。

9、

單擊“確定”，白名單訪問控制策略添加完成。
成功配置訪問控制策略后，訪問控制策略將允許獨享引擎回源IP地址的所有入方向流量。

您可以使用Telnet工具測試已接入WAF防護(hù)的源站IP對應(yīng)的業(yè)務(wù)端口是否能成功建立連接驗證配置是否生效。

例如，執(zhí)行以下命令，測試已接入WAF防護(hù)的源站IP對外開放的443端口是否能成功建立連接。如果顯示端口無法直接連通，但網(wǎng)站業(yè)務(wù)仍可正常訪問，則表示安全組規(guī)則配置成功。

Telnet?源站IP?443?文章來源地址http://www.zghlxwxcb.cn/news/detail-807055.html

到了這里，關(guān)于為什么需要放行回源IP的文章就介紹完了。如果您還想了解更多內(nèi)容，請在右上角搜索TOY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章，希望大家以后多多支持TOY模板網(wǎng)！