網站已接入Web應用防火墻（Web Application Firewall，簡稱WAF）進行安全防護后，您可以通過設置源站服務器的訪問控制策略，只放行WAF回源IP段，防止黑客獲取您的源站IP后繞過WAF直接攻擊源站。

說明
網站已接入WAF進行安全防護后，無論您是否配置源站保護，都不影響正常業務的轉發。沒有配置源站保護可能導致攻擊者在源站IP暴露的情況下，繞過WAF直接攻擊您的源站。
如果在ECS前使用了NAT網關做轉發，也需要設置ECS入方向規則在ECS的安全組配置只允許放行WAF的回源IP地址段，保護源站安全。

操作須知

• 在配置源站保護前，請確保該ECS或ELB實例上的所有網站域名都已經接入WAF，保證網站能正常訪問。

• 配置安全組存在一定風險，避免出現以下問題：

  • 您的網站設置了Bypass回源，但未取消安全組和網絡ACL等配置，這種情況下，可能會導致源站無法從公網訪問。
  • 當WAF有新增的回源網段時，如果源站已配置安全組防護，可能會導致頻繁出現5xx錯誤。

如何判斷源站存在泄露風險

您可以在非天翼云環境直接使用Telnet工具連接源站公網IP地址的業務端口（或者直接在瀏覽器中輸入訪問Web應用的IP），查看是否建立連接成功。

• 如果可以連通：表示源站存在泄露風險，一旦黑客獲取到源站公網IP就可以繞過WAF直接訪問。
• 如果無法連通：表示當前不存在源站泄露風險。

獲取WAF回源IP地址

回源IP是WAF用來代理客戶端請求服務器時用的源IP，在服務器看來，接入WAF后所有源IP都會變成WAF的回源IP，而真實的客戶端地址會被加在HTTP頭部的XFF字段中。

步驟 1 登錄管理控制臺。

步驟 2 單擊管理控制臺左上角的。

步驟 3 單擊頁面左上方的，選擇“安全 > Web應用防火墻 （獨享版）”。

步驟 4 在左側導航樹中，選擇“網站設置”，進入“網站設置”頁面。

步驟 5 在網站列表右側，單擊“Web應用防火墻回源IP網段”，查看Web應用防火墻所有回源IP段。

                    
說明
                    
Web應用防火墻的回源IP網段會定期更新，及時將更新后的回源IP網段添加至相應的安全組規則中，避免出現誤攔截。
                    
                  
                  

步驟 6 在“Web應用防火墻的回源IP網段”對話框，單擊“復制IP段”，復制所有回源IP。

設置ECS入方向規則

如果您的源站服務器直接部署在天翼云ECS上，請參考以下操作步驟設置安全組規則，只放行WAF回源IP段。

                    
說明
                    
請確保所有WAF回源IP段都已通過源站ECS的安全組規則設置了入方向的允許策略，否則可能導致網站訪問異常。
                    
                  
                  

步驟 1 登錄管理控制臺。

步驟 2 單擊管理控制臺左上角的，選擇區域或項目。

步驟 3 選擇“計算 > 彈性云服務器 ECS”。

步驟 4 在目標ECS所在行的“名稱/ID”列中，單擊目標ECS實例名稱，進入ECS實例的詳情頁面。

步驟 5 選擇“安全組”頁簽，單擊“更改安全組”。

步驟 6 單擊安全組ID，進入安全組基本信息頁面。

步驟 7 選擇“入方向規則”頁簽，單擊“添加規則”，進入“添加入方向規則”頁面，參數配置說明如表所示。

入方向規則參數配置說明：

參數
配置說明
協議端口
安全組規則作用的協議和端口。選擇“自定義TCP”后，在TCP框下方輸入源站的端口。
源地址
逐一添加步驟6中復制的所有WAF回源IP段。
說明
一條規則配置一個IP。單擊“增加1條規則”，可配置多條規則，最多支持添加10條規則。

步驟 8 單擊“確定”，安全組規則添加完成。

成功添加安全組規則后，安全組規則將允許WAF回源IP段的所有入方向流量。

您可以參考如何判斷源站存在泄露風險，通過測試已接入WAF防護的源站IP對應的業務端口是否能成功建立連接驗證配置是否生效。如果顯示端口無法直接連通，但網站業務仍可正常訪問，則表示源站保護配置成功。

開啟ELB訪問控制

如果您的源站服務器直接部署在天翼云ELB上，請參考以下操作步驟設置訪問控制（白名單）策略，只放行WAF回源IP段。

步驟 1 登錄管理控制臺。

步驟 2 單擊管理控制臺左上角的，選擇區域或項目。

步驟 3 單擊頁面左上方的，選擇“網絡 > 彈性負載均衡 ELB”。

步驟 4 在目標ELB所在行的“監聽器”列中，單擊監聽器名稱，進入監聽器的詳情頁面。

步驟 5 在目標監聽器所在行的“訪問控制”列，單擊“設置”。

步驟 6 在彈出的對話框中，“訪問控制”選擇“白名單”。

1. 單擊“創建IP地址組”，將在獲取WAF回源IP地址中獲取到的獨享引擎實例的回源IP地址添加到“IP地址組”。
2. 在“IP地址組”的下拉框中選擇創建的IP地址組。

訪問控制頁面：

步驟 7 單擊“確定”，白名單訪問控制策略添加完成。

您可以參考如何判斷源站存在泄露風險，通過測試已接入WAF防護的源站IP對應的業務端口是否能成功建立連接驗證配置是否生效。如果顯示端口無法直接連通，但網站業務仍可正常訪問，則表示源站保護配置成功。