为什么需要放行回源IP

这篇具有很好参考价值的文章主要介绍了为什么需要放行回源IP。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

为什么需要放行回源IP
网站以“独享模式”成功接入WAF后,所有网站访问请求将先经过独享引擎配置的ELB然后流转到独享引擎实例进行监控,经独享引擎实例过滤后再返回到源站服务器,流量经独享引擎实例返回源站的过程称为回源。在服务器看来,接入WAF后所有源IP都会变成独享引擎实例的回源IP(即独享引擎实例对应的子网IP),以防止源站IP暴露后被黑客直接攻击。

源站服务器上的安全软件很容易认为独享引擎的回源IP是恶意IP,有可能触发屏蔽WAF回源IP的操作。一旦WAF的回源IP被屏蔽,WAF的请求将无法得到源站的正常响应,因此,网站以“独享模式”接入WAF防护后,您需要在源站服务器上设置放行创建的独享引擎实例对应的子网IP,不然可能会出现网站打不开或打开极其缓慢等情况。

一、回源到ECS
如果您的源站服务器直接部署在华为云ECS上,请参考以下操作步骤设置安全组规则,放行独享模式回源IP。

登录管理控制台。
单击管理控制台左上角的,选择区域或项目。
单击页面左上方的,选择“安全与合规 > Web应用防火墙”,进入“安全总览”页面。
在左侧导航树中,选择“系统管理 > 独享引擎”,进入“独享引擎”页面。
图1 独享引擎列表

为什么需要放行回源IP,tcp/ip,网络协议,网络

 在独享引擎列表的“IP地址”栏,获取所有创建的独享引擎对应的子网IP地址。
单击页面左上方的,选择“计算 > 弹性云服务器 ECS”。
在目标ECS所在行的“名称/ID”列中,单击目标ECS实例名称,进入ECS实例的详情页面。
选择“安全组”页签,单击“更改安全组”。
在“更改安全组”对话框中,选择目标安全组或新建安全组并单击“确定”。
单击安全组ID,进入安全组基本信息页面。
选择“入方向规则”页签,单击“添加规则”,进入“添加入方向规则”页面,参数配置说明如表1所示。
图2 添加入方向规则

为什么需要放行回源IP,tcp/ip,网络协议,网络

入方向规则参数配置说明

参数 配置说明
协议端口 安全组规则作用的协议和端口。选择“自定义TCP”后,在TCP框下方输入源站的端口。
源地址

逐一添加5中获取的所有独享引擎实例的子网IP地址。

说明:
一条规则配置一个IP。单击“增加1条规则”,可配置多条规则,最多支持添加10条规则。

12 、单击“确定”,安全组规则添加完成。
成功添加安全组规则后,安全组规则将允许独享引擎回源IP地址的所有入方向流量。

您可以使用Telnet工具测试已接入WAF防护的源站IP对应的业务端口是否能成功建立连接验证配置是否生效。

例如,执行以下命令,测试已接入WAF防护的源站IP对外开放的443端口是否能成功建立连接。如果显示端口无法直接连通,但网站业务仍可正常访问,则表示安全组规则配置成功。

Telnet 源站IP 443

二、回源到ELB
1、如果您的源站服务器使用华为云ELB进行流量分发,请参考以下操作步骤设置访问控制(白名单)策略,只放行独享模式回源IP。

2、登录管理控制台。
单击页面左上方的,选择“安全与合规 > Web应用防火墙”,进入“安全总览”页面。
3、在左侧导航树中,选择“系统管理 > 独享引擎”,进入“独享引擎”页面。
图3 独享引擎列表

为什么需要放行回源IP,tcp/ip,网络协议,网络

4、 在独享引擎列表的“IP地址”栏,获取所有创建的独享引擎对应的子网IP地址。
5、单击页面左上方的,选择“网络 > 弹性负载均衡”。
6、在独享引擎绑定的ELB所在行的“名称”列中,单击ELB名称,进入ELB的详情页面。
7、在目标监听器所在行的“访问控制”列,单击“设置”。

为什么需要放行回源IP,tcp/ip,网络协议,网络

8、 在弹出的对话框中,“访问控制”选择“白名单”。
单击“创建IP地址组”,将4中独享引擎实例的回源IP地址添加到“IP地址组”。
在“IP地址组”的下拉框中选择8.a中创建的IP地址组。

为什么需要放行回源IP,tcp/ip,网络协议,网络

9、

单击“确定”,白名单访问控制策略添加完成。
成功配置访问控制策略后,访问控制策略将允许独享引擎回源IP地址的所有入方向流量。

您可以使用Telnet工具测试已接入WAF防护的源站IP对应的业务端口是否能成功建立连接验证配置是否生效。

例如,执行以下命令,测试已接入WAF防护的源站IP对外开放的443端口是否能成功建立连接。如果显示端口无法直接连通,但网站业务仍可正常访问,则表示安全组规则配置成功。

Telnet 源站IP 443 文章来源地址https://www.toymoban.com/news/detail-807055.html

到了这里,关于为什么需要放行回源IP的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • TCP/IP协议,IPV4,IPV6,为什么国家大力倡导IPV6的发展

    简单回顾一下TCP的特点 TCP是可靠性,UDP是负责效率,那么如何基于UDP实现可靠传输 本质还是考察TCP 目录 TCP/IP协议栈💛  那么假如IP地址不够用怎么办呢?NAT机制💙  IP地址的介绍💜  我们来简单了解一下,上面都是干什么的: (1)四位版本号 主流IPV4,IPV6(用于工作,商用这

    2024年02月08日
    浏览(53)
  • 为什么RIP使用UDP,OSPF使用IP,而BGP使用TCP?为什么RIP周期性地和邻站交换路由信息而BGP却不这样做?

    RIP只和邻站交换信息,使用UDP无可靠保障,但开销小,可以满足RIP要求; OSPF使用可靠的洪泛法,直接使用IP,灵活、开销小; BGP需要交换整个路由表和更新信息,TCP提供可靠交付以减少带宽消耗; RIP使用不保证可靠交付的UDP,因此必须不断地(周期性地)和邻站交换信息才

    2024年02月02日
    浏览(54)
  • TCP 和 UDP 区别? 2、TCP/IP 协议涉及哪几层架构? 3、描述下 TCP 连接 4 次挥手的过程?为什么要 4 次挥手?

    TCP 基于连接,UDP 基于无连接。 TCP 要求系统资源较多,UDP 较少。 UDP 程序结构较简单。 TCP 保证数据正确性,UDP 可能丢包。 TCP 保证数据顺序,UDP 不保证。 应用层 传输层 互连网络层 网络接口层。 因为 TCP 是全双工,每个方向都必须进行单独关闭。关闭连接时,当 Server 端收

    2024年02月03日
    浏览(44)
  • 为什么普通路由器在转发IP数据报时,对于源地址和目的地址都是不改变的,而NAT路由器需要改变

    普通路由器在转发IP数据报时,对于源地址和目的地址都是不改变的 。这是因为路由器的主要任务是根据其路由表将数据包从一个网络接口转发到另一个网络接口。当数据包到达路由器时,路由器首先将其目的地址与路由表进行对比,如果目的地址在本地网络内,它会直接转

    2024年02月04日
    浏览(88)
  • TCP为什么需要3次握手?

    一、3次握手过程 客户端向服务端发送一个表示建立连接的SYN报文段,服务端从IP数据报中提取出TCP SYN报文段,为该TCP连接分配需要的缓存和变量,并向客户端发送表示允许连接的报文段ACK。客户端在收到ACK报文段之后,也要给该连接分配缓存和变量,客户端向服务器再发送

    2024年04月26日
    浏览(45)
  • TCP为什么需要进行三次握手深入解析

    首先简单介绍一下TCP三次握手 在TCP/IP协议中,TCP协议提供可靠的连接服务,采用三次握手建立一个连接。 第一次握手:建立连接时,客户端发送syn包(syn=j)到服务器,并进入SYN_SEND状态,等待服务器确认; 第二次握手:服务器收到syn包,必须确认客户的SYN(ack=j+1),同时自己

    2024年02月05日
    浏览(47)
  • 说说TCP为什么需要三次握手和四次挥手?

    三次握手(Three-way Handshake)其实就是指建立一个TCP连接时,需要客户端和服务器总共发送3个包 主要作用就是为了确认双方的接收能力和发送能力是否正常、指定自己的初始化序列号为后面的可靠性传送做准备 过程如下: 第一次握手:客户端给服务端发一个 SYN 报文,并指明

    2024年04月08日
    浏览(61)
  • 什么是IP白名单?为什么要设置IP白名单?

    在互联网的世界里,IP地址是每个设备与网络进行通信的关键标识。然而,并不是所有的IP地址都可以无限制地访问所有网络资源。为了保障网络安全和资源管理,很多网站和服务会设置IP白名单。本文将详细介绍IP白名单的定义、作用以及为什么要设置IP白名单。 1、IP白名单

    2024年04月16日
    浏览(53)
  • TCP为什么需要三次握手进行连接,二次或四次不可以吗?

    为了确认双方具有接收和发送的能力。 1. 可以阻止重复历史连接的初始化(主要原因)。 2. 可以同步双方的初始序列号。 3. 可以避免资源的浪费。 1. 为了防止旧的重复连接初始化造成混乱。 当客户端发送了一个 SYN 报文后,突然宕机了,并且这个 SYN 报文还被网络阻塞了

    2024年02月16日
    浏览(59)
  • 为什么爬虫要用高匿代理IP?高匿代理IP有什么优点

    只要搜代理IP,度娘就能给我们跳出很多品牌的推广,比如我们青果网路的。 正如你所看到的,我们厂商很多宣传用词都会用到高匿这2字。 这是为什么呢?高匿IP有那么重要吗? 这就需要我们从HTTP代理应用最多最广的:爬虫数据采集来说。 爬虫数据采集的时候,非常容易遇

    2024年02月12日
    浏览(52)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包