步骤四：放行独享引擎回源 IP

网站以“独享模式”成功接入WAF后，建议您在源站服务器上配置只放行独享引擎回 源IP的访问控制策略，防止黑客获取源站IP后绕过WAF直接攻击源站，以确保源站安 全、稳定、可用。

须知

网站以“独享模式”成功接入WAF后，如果访问网站频繁出现502/504错误，建议您 检查并确保源站服务器已配置了放行独享引擎回源IP的访问控制策略。

为什么需要放行回源 IP

网站以“独享模式”成功接入WAF后，所有网站访问请求将先经过独享引擎配置的ELB 然后流转到独享引擎实例进行监控，经独享引擎实例过滤后再返回到源站服务器，流 量经独享引擎实例返回源站的过程称为回源。在服务器看来，接入WAF后所有源IP都 会变成独享引擎实例的回源IP（即独享引擎实例对应的子网IP），以防止源站IP暴露后 被黑客直接攻击。

源站服务器上的安全软件很容易认为独享引擎的回源IP是恶意IP，有可能触发屏蔽 WAF回源IP的操作。一旦WAF的回源IP被屏蔽，WAF的请求将无法得到源站的正常响 应，因此，网站以“独享模式”接入WAF防护后，您需要在源站服务器上设置放行创 建的独享引擎实例对应的子网IP，不然可能会出现网站打不开或打开极其缓慢等情 况。

前提条件

网站以“独享模式”成功接入WAF。

说明

如果您已开通企业项目，您可以在“企业项目”下拉列表中选择您所在的企业项目，在该企业项 目下放行独享引擎回源IP。

回源到 ECS

如果您的源站服务器直接部署在华为云ECS上，请参考以下操作步骤设置安全组规则，

放行独享模式回源IP。

步骤1 登录管理控制台。

步骤2 进入独享引擎页面，如图5-14所示。

图5-14 进入独享引擎页面

步骤3 在独享引擎列表的“子网IP地址”栏，获取所有创建的独享引擎对应的子网IP地址，如 图5-15所示。

图5-15 获取独享引擎实例对应的子网 IP 地址

步骤4 单击页面左上方的 ，选择“计算 > 弹性云服务器 ECS”。

步骤5 在目标ECS所在行的“名称/ID”列中，单击目标ECS实例名称，进入ECS实例的详情页 面。

步骤6 选择“安全组”页签，单击“更改安全组”。

步骤7 在“更改安全组”对话框中，选择目标安全组或新建安全组。

步骤8 单击安全组名称，进入安全组基本信息页面。

步骤9 选择“入方向规则”页签，单击“添加规则”，进入“添加入方向规则”页面，如图 5-16所示，参数配置说明如表5-4所示。

用户指南 5 网站接入 WAF（独享模式）

图5-16 添加入方向规则

表5-4 入方向规则参数配置说明

参数 配置说明

协议端口 安全组规则作用的协议和端口。选择“自定义TCP”后，在 TCP框下方输入源站的端口。

源地址 逐一添加步骤3中获取的所有独享引擎实例的子网IP地址。

说明一条规则配置一个IP。单击“增加1条规则”，可配置多条规则，最 多支持添加10条规则。

步骤10 单击“确定”，安全组规则添加完成。

成功添加安全组规则后，安全组规则将允许独享引擎回源IP地址的所有入方向流量。

您可以使用Telnet工具测试已接入WAF防护的源站IP对应的业务端口是否能成功建立连 接验证配置是否生效。

例如，执行以下命令，测试已接入WAF防护的源站IP对外开放的443端口是否能成功建 立连接。如果显示端口无法直接连通，但网站业务仍可正常访问，则表示安全组规则 配置成功。

Telnet 源站IP 443 ----结束

回源到 ELB

如果您的源站服务器使用华为云ELB进行流量分发，请参考以下操作步骤设置访问控制

（白名单）策略，只放行独享模式回源IP。

步骤1 登录管理控制台。

步骤2 进入独享引擎页面，如图5-17所示。

图5-17 进入独享引擎页面

步骤3 在独享引擎列表的“子网IP地址”栏，获取所有创建的独享引擎对应的子网IP地址，如 图5-18所示。

图5-18 获取独享引擎实例对应的子网 IP 地址

步骤4 单击页面左上方的 ，选择“网络 > 弹性负载均衡 ELB”。

步骤5 在独享引擎绑定的ELB所在行的“名称”列中，单击ELB名称，进入ELB的详情页面。

步骤6 选择“监听器”页签，单击“设置访问控制”，如图5-19所示。

图5-19 设置访问控制

步骤7 在弹出的对话框中，“访问策略”选择“白名单”，将步骤3中独享引擎实例的回源IP 地址添加到“IP地址组”中，如图5-20所示。

用户指南 5 网站接入 WAF（独享模式）

图5-20 配置白名单访问控制

说明

单击“创建IP地址组”， 您可以将独享引擎实例的回源IP地址添加到IP地址组中。

步骤8 单击“确定”，白名单访问控制策略添加完成。

成功配置访问控制策略后，访问控制策略将允许独享引擎回源IP地址的所有入方向流 量。

您可以使用Telnet工具测试已接入WAF防护的源站IP对应的业务端口是否能成功建立连 接验证配置是否生效。

例如，执行以下命令，测试已接入WAF防护的源站IP对外开放的443端口是否能成功建 立连接。如果显示端口无法直接连通，但网站业务仍可正常访问，则表示安全组规则 配置成功。

Telnet 源站IP 443 ----结束

6 网站接入 WAF（ELB 模式）