在线观看美女视频黄网站,免费AV在线播放网站,国自产拍精品偷拍

CNAME接入模式下，網(wǎng)站的業(yè)務(wù)流量經(jīng)過(guò)WAF防護(hù)后流回源站。若源站IP泄露則攻擊者會(huì)繞過(guò)WAF直接攻擊源站。您可以為源站服務(wù)器配置訪問(wèn)控制策略，只放行WAF回源IP段入方向的流量來(lái)保護(hù)源站。本文以部署了阿里云負(fù)載均衡SLB的ECS服務(wù)器為例，講解如何配置訪問(wèn)控制策略。

說(shuō)明

網(wǎng)站接入WAF防護(hù)后，無(wú)論您是否設(shè)置源站保護(hù)，都不影響正常業(yè)務(wù)的轉(zhuǎn)發(fā)。
如果您使用透明接入方式，將源站阿里云服務(wù)器ECS和負(fù)載均衡SLB的業(yè)務(wù)流量接入WAF防護(hù)，引流端口的所有流量都會(huì)被牽引到WAF防護(hù)，攻擊者無(wú)法繞過(guò)WAF直接攻擊源站。因此，您無(wú)需設(shè)置源站保護(hù)。

風(fēng)險(xiǎn)須知

配置源站服務(wù)器的訪問(wèn)控制策略存在一定風(fēng)險(xiǎn)。在設(shè)置源站保護(hù)前，請(qǐng)注意以下事項(xiàng)：

請(qǐng)確保同一源站ECS實(shí)例或SLB實(shí)例上的所有域名都已經(jīng)接入WAF進(jìn)行防護(hù)，避免攻擊者通過(guò)未接入WAF的域名入侵源站，從而影響其他域名業(yè)務(wù)。
在WAF集群出現(xiàn)故障時(shí)，WAF可能會(huì)將域名訪問(wèn)請(qǐng)求旁路回源至源站，確保網(wǎng)站正常訪問(wèn)。這種情況下，如果源站已設(shè)置ECS安全組或SLB白名單訪問(wèn)控制策略，可能會(huì)導(dǎo)致源站暫時(shí)無(wú)法通過(guò)公網(wǎng)訪問(wèn)。
當(dāng)WAF集群擴(kuò)容增加新的回源IP段時(shí)，如果源站已設(shè)置ECS安全組或SLB白名單防護(hù)，可能會(huì)導(dǎo)致頻繁出現(xiàn)5XX錯(cuò)誤響應(yīng)。建議您定期關(guān)注Web應(yīng)用防火墻控制臺(tái)發(fā)布的回源網(wǎng)段變更通知，及時(shí)更新涉及回源IP網(wǎng)段的訪問(wèn)控制策略。
如果您不再使用WAF，在將業(yè)務(wù)流量切回源站服務(wù)器之前，請(qǐng)務(wù)必先刪除已添加的訪問(wèn)控制策略，放行所有業(yè)務(wù)流量，避免業(yè)務(wù)流量切回后出現(xiàn)業(yè)務(wù)中斷。

前提條件

確認(rèn)源站服務(wù)器為阿里云服務(wù)器ECS，并部署負(fù)載均衡SLB。更多信息，請(qǐng)參見(jiàn)云服務(wù)器ECS、負(fù)載均衡SLB。
源站ECS實(shí)例或SLB實(shí)例上的所有域名都已經(jīng)通過(guò)CNAME接入方式接入WAF防護(hù)。具體操作，請(qǐng)參見(jiàn)添加域名。

步驟一：檢測(cè)源站是否存在IP暴露風(fēng)險(xiǎn)

您可以在非阿里云環(huán)境直接使用Telnet工具連接源站公網(wǎng)IP地址的業(yè)務(wù)端口，檢測(cè)是否能夠成功建立連接：

如果可以連通，表示源站存在IP泄露風(fēng)險(xiǎn)，一旦黑客獲取到源站公網(wǎng)IP就可以繞過(guò)WAF直接訪問(wèn)源站。
如果無(wú)法連通，表示源站當(dāng)前不存在IP泄露風(fēng)險(xiǎn)。

示例：測(cè)試已接入WAF進(jìn)行防護(hù)的源站IP的80端口和8080端口是否能成功建立連接。以下截圖中的測(cè)試結(jié)果顯示端口可以連通，說(shuō)明源站存在IP泄露風(fēng)險(xiǎn)。端口可連通,waf

步驟二：獲取WAF回源IP段

重要

WAF回源IP段會(huì)定期更新，請(qǐng)關(guān)注定期變更通知，及時(shí)將更新后的回源IP段添加至相應(yīng)的安全組或白名單規(guī)則中，避免出現(xiàn)誤攔截。

登錄Web應(yīng)用防火墻控制臺(tái)，在頂部菜單欄，選擇WAF實(shí)例的資源組和地域（中國(guó)內(nèi)地、非中國(guó)內(nèi)地）。
在左側(cè)導(dǎo)航欄，選擇系統(tǒng)管理 > 產(chǎn)品信息。
在產(chǎn)品信息頁(yè)面右下方的回源IP段區(qū)域，單擊復(fù)制全部IP。
回源IP段區(qū)域?qū)崟r(shí)顯示WAF回源IP段。

步驟三：設(shè)置ECS安全組規(guī)則

如果您的源站服務(wù)器為云服務(wù)器ECS，請(qǐng)?jiān)讷@取WAF回源IP段后，參照以下步驟設(shè)置源站ECS實(shí)例的安全組規(guī)則，只放行WAF回源IP段的入方向流量，拒絕所有其他IP段的入方向流量。

進(jìn)入安全組頁(yè)面。
1. 登錄ECS管理控制臺(tái)。
2. 在左側(cè)導(dǎo)航欄，選擇網(wǎng)絡(luò)與安全 > 安全組。
3. 在頂部菜單欄左上角處，選擇地域。
找到目標(biāo)安全組，在操作列中，單擊管理規(guī)則。
選擇安全組規(guī)則所屬的方向。
- 如果安全組的網(wǎng)絡(luò)類型為專有網(wǎng)絡(luò)，請(qǐng)選擇入方向或出方向。
- 如果安全組的網(wǎng)絡(luò)類型為經(jīng)典網(wǎng)絡(luò)，請(qǐng)選擇入方向、出方向、公網(wǎng)入方向或公網(wǎng)出方向。

添加一條優(yōu)先級(jí)最高的安全組規(guī)則，放行WAF回源IP段的入方向流量。

在訪問(wèn)規(guī)則區(qū)域的入方向頁(yè)簽下，單擊手動(dòng)添加。

完成以下規(guī)則配置，并單擊保存。

配置項(xiàng)	說(shuō)明
授權(quán)策略	選擇允許。
優(yōu)先級(jí)	輸入1，表示優(yōu)先級(jí)最高。
協(xié)議類型	選擇自定義TCP。
端口范圍	選擇HTTP（80）和HTTPS（443）。
授權(quán)對(duì)象	將已復(fù)制的WAF回源IP段粘貼到源輸入框。
描述	自定義描述信息。示例：放行WAF回源IP。

重要

如果當(dāng)前安全組防護(hù)的服務(wù)器與WAF回源IP以外的其他IP、HTTP或HTTPS以外的其他應(yīng)用有交互，請(qǐng)將這些交互IP和端口通過(guò)安全組一并加白放行。

成功添加該安全組規(guī)則后，ECS實(shí)例安全組將以最高優(yōu)先級(jí)放行WAF回源IP段的所有入方向流量。

警告

請(qǐng)務(wù)必確保所有WAF回源IP段都已通過(guò)源站ECS實(shí)例的安全組規(guī)則設(shè)置了入方向的允許策略，否則可能導(dǎo)致網(wǎng)站訪問(wèn)異常。

添加一條優(yōu)先級(jí)最低的安全組規(guī)則，拒絕其余所有IP段的入方向流量。

在訪問(wèn)規(guī)則區(qū)域的入方向頁(yè)簽下，單擊手動(dòng)添加。

完成以下規(guī)則配置，并單擊保存。

配置項(xiàng)	說(shuō)明
授權(quán)策略	選擇拒絕。
優(yōu)先級(jí)	輸入100，表示優(yōu)先級(jí)最低。
協(xié)議類型	選擇自定義TCP。
端口范圍	選擇HTTP（80）和HTTPS（443）。
授權(quán)對(duì)象	在源輸入框，輸入`0.0.0.0/0`（表示所有IP段）并按回車鍵。
描述	自定義描述信息。示例：拒絕所有入方向流量。

成功添加該安全組規(guī)則后，ECS實(shí)例安全組除了放行WAF回源IP段的入方向流量外，還將拒絕所有其他IP段的入方向流量，保證所有業(yè)務(wù)流量都經(jīng)WAF轉(zhuǎn)發(fā)到源站ECS實(shí)例。

步驟四：設(shè)置SLB訪問(wèn)控制

如果您的源站服務(wù)器部署了負(fù)載均衡SLB，您還需要設(shè)置SLB實(shí)例的訪問(wèn)控制（白名單）策略，只放行WAF回源IP段的入方向流量。

以下操作描述以傳統(tǒng)型負(fù)載均衡CLB為例進(jìn)行介紹。如果您使用應(yīng)用型負(fù)載均衡ALB，請(qǐng)結(jié)合以下操作描述及ALB訪問(wèn)控制文檔進(jìn)行操作。

登錄傳統(tǒng)型負(fù)載均衡CLB控制臺(tái)。
在頂部菜單欄，選擇實(shí)例所屬地域。
在左側(cè)導(dǎo)航欄，選擇傳統(tǒng)型負(fù)載均衡 CLB(原SLB) > 訪問(wèn)控制。

創(chuàng)建_IPv4訪問(wèn)控制策略組。

在訪問(wèn)控制頁(yè)面，單擊創(chuàng)建訪問(wèn)控制策略組。

在創(chuàng)建訪問(wèn)控制策略組面板，完成以下策略組配置，并單擊創(chuàng)建。

以下配置表示為所有IPv4類型的WAF回源IP創(chuàng)建一個(gè)策略組。

配置項(xiàng)	說(shuō)明
策略組名稱	自定義策略組名稱。示例：WAF回源IP段_IPv4。
所屬資源組	選擇策略組所屬資源組。
IP版本	選擇IPv4。
批量添加IP地址/地址段和備注	粘貼所有IPv4類型的WAF回源IP。每行只允許輸入一個(gè)條目。多個(gè)條目間通過(guò)回車分隔。說(shuō)明由于復(fù)制獲取的所有WAF回源IP段之間以半角逗號(hào)（,）分隔，建議您使用支持?jǐn)U展替換的文本編輯器，將半角逗號(hào)（,）統(tǒng)一替換為換行符（\n）再進(jìn)行粘貼。

重復(fù)步驟4，為所有IPv6類型的WAF回源IP創(chuàng)建一個(gè)策略組。
與步驟4有差異的配置說(shuō)明如下：
- 策略組名稱：您可以將該策略組命名為WAF回源IP段_IPv6。
- IP版本：選擇IPv6。
- 批量添加IP地址/地址段和備注：粘貼所有IPv6類型的WAF回源IP。

為監(jiān)聽(tīng)設(shè)置訪問(wèn)控制策略。

在左側(cè)導(dǎo)航欄，選擇傳統(tǒng)型負(fù)載均衡CLB（原SLB） > 實(shí)例管理。
在實(shí)例管理列表，定位到要操作的實(shí)例，單擊實(shí)例ID。
在監(jiān)聽(tīng)列表，定位到要設(shè)置的監(jiān)聽(tīng)，在操作列下單擊圖標(biāo)，然后單擊設(shè)置訪問(wèn)控制。
請(qǐng)根據(jù)已接入WAF防護(hù)的業(yè)務(wù)類型，選擇要設(shè)置的監(jiān)聽(tīng)：
- 如果您已將HTTP業(yè)務(wù)接入WAF防護(hù)，則需要設(shè)置HTTP監(jiān)聽(tīng)。
- 如果您已將HTTPS業(yè)務(wù)接入WAF防護(hù)，則需要設(shè)置HTTPS監(jiān)聽(tīng)。
- 如果您已將HTTP和HTTPS業(yè)務(wù)接入WAF防護(hù)，則需要分別設(shè)置HTTP監(jiān)聽(tīng)和HTTPS監(jiān)聽(tīng)。

在訪問(wèn)控制設(shè)置面板，打開(kāi)啟動(dòng)訪問(wèn)控制開(kāi)關(guān)并完成以下配置。

配置項(xiàng)	說(shuō)明
訪問(wèn)控制方式	選擇白名單：允許特定IP訪問(wèn)負(fù)載均衡SLB。
選擇訪問(wèn)控制策略組	根據(jù)CLB實(shí)例的IP版本，選擇WAF回源IP對(duì)應(yīng)的訪問(wèn)控制策略組： IPv4類型CLB實(shí)例僅支持選擇IPv4版本的策略組。 IPv6類型CLB實(shí)例僅支持選擇IPv6版本的策略組。

完成以上配置后，CLB實(shí)例監(jiān)聽(tīng)將會(huì)放行WAF回源IP段的入方向流量。

后續(xù)操作

完成ECS安全組或SLB白名單設(shè)置后，您可以通過(guò)測(cè)試源站IP的80端口和8080端口是否能成功建立連接，驗(yàn)證設(shè)置是否已生效。

如果端口無(wú)法直接連通，但網(wǎng)站業(yè)務(wù)仍可正常訪問(wèn)，則表示源站保護(hù)已設(shè)置成功。

日本熟妇hd丰满老熟妇,中文字幕一区二区三区在线不卡 ,亚洲成片在线观看,免费女同在线一区二区

設(shè)置源站保護(hù)