设置源站保护
保护 设置
2023-09-11 14:16:16 时间
网站已接入Web应用防火墙进行防护后,您可以设置源站服务器的访问控制策略,只放行Web应用防火墙回源IP段的入方向流量,防止黑客获取您的源站IP后绕过Web应用防火墙直接攻击源站。本文介绍了源站服务器部署在云服务器ECS、负载均衡SLB时,如何设置对应的安全组规则和白名单策略。
前提条件
风险须知
网站已接入Web应用防火墙进行防护后,无论您是否设置源站保护,都不影响正常业务的转发。设置源站保护可以帮助您预防攻击者在源站IP暴露的情况下,绕过Web应用防火墙直接攻击您的源站。关于如何判断源站是否存在IP泄露风险,请参见相关问题。
配置源站服务器的访问控制策略存在一定风险。在设置源站保护前,请注意以下事项:
- 请确保源站ECS实例、SLB实例上的所有网站域名都已经接入Web应用防火墙进行防护。
- 当Web应用防火墙集群出现故障时,可能会将域名访问请求旁路回源至源站,确保网站正常访问。这种情况下,如果源站已设置ECS安全组、SLB白名单防护,则可能会导致源站无法从公网访问。
- 当Web应用防火墙集群扩容增加新的回源网段时,如果源站已设置ECS安全组、SLB白名单防护,可能会导致频繁出现5xx错误。
获取Web应用防火墙回源IP段
注意 Web应用防火墙回源IP网段会定期更新,请关注定期变更通知,及时将更新后的回源IP网段添加至相应的安全组、白名单规则中,避免出现误拦截。
设置ECS安全组规则
如果您的源站服务器直接部署在云服务器ECS实例上,请在获取Web应用防火墙回源IP段后,参照以下步骤设置源站ECS实例的安全组规则。通过设置安全组规则,只允许Web应用防火墙回源IP段的入方向流量。
说明 如果当前安全组防护的服务器还与其他的IP或应用存在交互,需要将这些交互的IP和端口通过安全组一并加白放行,或者在最后添加一条优先级最低的全端口放行策略。
开启SLB访问控制
如果您的源站服务器部署了负载均衡SLB,请在获取Web应用防火墙回源IP段后,参照以下步骤设置SLB实例的访问控制(白名单)策略。通过开启访问控制(白名单),只允许Web应用防火墙回源IP段的入方向流量。
后续操作
完成ECS安全组、SLB白名单设置后,您可以通过测试源站IP的80端口和8080端口是否能成功建立连接,验证设置是否生效。
如果显示端口无法直接连通,但网站业务仍可正常访问,则表示源站保护已设置成功。
相关文章
- redis安装与使用(windows端)+Redis设置Auth认证保护+redis的管理工具:Redis Desktop Manager
- 基于SP4062电路IO接口八通道保护板
- 安全保护能力是什么意思?等保不同级别保护能力分别是怎样?
- 个人信息安全规范----9、个人信息保护政策模板
- 为保护个人信息安全再筑“高墙”
- 不要逃避你已经变成了什么样,拥抱他(yourself),和他(yourself)说说话,从此成长。不要错过你真正需要关心的事情,你要不惜一切代价保护你的家人,哪怕毁灭全世界。
- secureCRT,永久设置,保护眼睛,配色方案
- 什么是物联网?如何保护物联网iot安全性
- 国家信息安全等级保护认证 金融科技合规新标准
- 云安全:现有安全流程和技术无法保护
- 如何保护旧 SSD 上的数据?建议在丢弃前将它彻底粉碎
- 欧盟与美国的个人数据传输保护协议尘埃落定
- 一批新规6月起实施:网络安全法加强个人信息保护
- 个人信息安全和隐私保护形势严峻
- gitlab设置分支保护