設定源站保護

2022-03-26 09:27:50 字數 3087 閱讀 6504

**已接入web應用防火牆進行防護後,您可以設定源站伺服器的訪問控制策略,只放行web應用防火牆回源ip段的入方向流量,防止黑客獲取您的源站ip後繞過web應用防火牆直接攻擊源站。本文介紹了源站伺服器部署在雲伺服器ecs、負載均衡slb時,如何設定對應的安全組規則和白名單策略。

**已接入web應用防火牆進行防護後,無論您是否設定源站保護,都不影響正常業務的**。設定源站保護可以幫助您預防攻擊者在源站ip暴露的情況下,繞過web應用防火牆直接攻擊您的源站。關於如何判斷源站是否存在ip洩露風險,請參見相關問題。

配置源站伺服器的訪問控制策略存在一定風險。在設定源站保護前,請注意以下事項:

登入web應用防火牆控制台。

在頂部選單欄,選擇web應用防火牆例項的資源組和地域(中國內地、海外地區)。

在左側導航欄,單擊系統管 

產品資訊。

在產品資訊頁面底部,定位到回源ip段區域,單擊複製全部ip。

回源ip段區域實時顯示最新的web應用防火牆回源ip段。

如果您的源站伺服器直接部署在雲伺服器ecs例項上,請在獲取web應用防火牆回源ip段後,參照以下步驟設定源站ecs例項的安全組規則。通過設定安全組規則,只允許web應用防火牆回源ip段的入方向流量。

登入雲伺服器ecs控制台。

在左側導航欄,單擊例項與鏡 

例項。在頂部選單欄,選擇ecs例項的資源組和地域。

在例項列表,定位到要操作的例項,單擊其操作列下的更 

網路和安全 

安全組配置。

定位到要設定的安全組,單擊其操作列下的配置規則。

單擊新增安全組規則。

在新增安全組規則對話方塊,完成以下規則配置,並單擊確定。

引數說明

網絡卡型別

預設與ecs例項的網路型別保持一致。

規則方向

選擇入方向。

授權型別

選擇允許。

協議型別

選擇自定義tcp。

埠範圍輸入80/443。

優先順序輸入1,表示優先順序最高。

授權型別

選擇ipv4位址段訪問。

授權物件

貼上已獲取的web應用防火牆回源ip段。

授權物件支援使用類似「10.x.x.x/32」的ip網段格式。多個授權物件間使用英文逗號(,)分隔。每個安全組規則最多支援新增10個授權物件。

說明建議您將所有web應用防火牆回源ip分成多組(每組包含的ip段數量不超過10個),並新增多個安全組策略進行授權。

描述自定義描述資訊。示例:允許web應用防火牆回源ip段入方向流量。

成功新增安全組規則後,以上安全組規則將以最高優先順序允許web應用防火牆回源ip段的所有入方向流量。

警告請務必確保所有web應用防火牆回源ip段都已通過源站ecs例項的安全組規則設定了入方向的允許策略,否則可能導致**訪問異常。

再次新增一條優先順序最低的安全組規則,拒絕所有ip段的入方向流量。

具體規則配置如下表所示。

引數說明

網絡卡型別

預設與ecs例項的網路型別保持一致。

規則方向

選擇入方向。

授權型別

選擇拒絕。

協議型別

選擇自定義tcp。

埠範圍輸入80/443。

優先順序輸入100,表示優先順序最低。

授權型別

選擇ipv4位址段訪問。

授權物件

輸入0.0.0.0/0,表示所有ip段。

描述自定義描述資訊。示例:拒絕所有入方向流量,優先順序100。

說明如果當前安全組防護的伺服器還與其他的ip或應用存在互動,需要將這些互動的ip和埠通過安全組一併加白放行,或者在最後新增一條優先順序最低的全埠放行策略。

如果您的源站伺服器部署了負載均衡slb,請在獲取web應用防火牆回源ip段後,參照以下步驟設定slb例項的訪問控制(白名單)策略。通過開啟訪問控制(白名單),只允許web應用防火牆回源ip段的入方向流量。

登入負載均衡slb控制台。

在左側導航欄,單擊訪問控制。

單擊建立訪問控制策略組。

在建立訪問控制策略組頁面,完成以下策略組配置,並單擊確定。

引數說明

策略組名稱

自定義策略組名稱。示例:web應用防火牆回源ip段。

所屬資源組

選擇策略組所屬資源組。

ip版本

選擇ipv4。

貼上所有web應用防火牆回源ip。

每行只允許輸入乙個條目。多個條目間以回車分隔。

說明由於複製獲取的所有web應用防火牆回源ip段之間以英文逗號(,)分隔,建議您使用支援擴充套件替換的文字編輯器(例如notepad、word等),將英文逗號(,)統一替換為換行符(\n)再進行貼上。

在左側導航欄,單擊實 

例項管理。

在例項管理列表,定位到要操作的例項,單擊其id。

在監聽列表,定位到要設定的監聽,單擊其操作列下的

> 設定訪問控制。

在訪問控制設定頁面,開啟啟動訪問控制開關,完成以下設定,並單擊確定。

引數說明

訪問控制方式

選擇白名單:允許特定ip訪問負載均衡slb。

選擇訪問控制策略組

選擇web應用防火牆回源ip對應的訪問控制策略組。

完成ecs安全組、slb白名單設定後,您可以通過測試源站ip的80埠和8080埠是否能成功建立連線,驗證設定是否生效。

如果顯示埠無法直接連通,但**業務仍可正常訪問,則表示源站保護已設定成功。

源站檔案同步

源站檔案同步主備方案 資料庫主備和源站檔案主備,主備同時只有乙個在運算元據庫。一 資料庫和源站在一台機器 nginx 主 nginx 備 mysql 主 mysql 備 如果資料庫主備同步 採用 mysql 主從複製,除非保證源站檔案主備的強一致性,才能保證切換後查詢檔案的狀態和真實檔案的狀態一致。...

Django跨站偽造請求保護措施設定方法

一文,僅供學習使用。在 django 建站中遇到 post 提交表單提示 403 錯誤,發現以 post 方式提交表單會觸發 django 內建的 csrf 保護機制,並且在 403 頁面給出了解決方法,根據提示更改後發現問題依舊,網上查閱很多同學的解決方案均不能解決這個問題,所以到官網上查閱了關於...

Python django 跨站請求偽造保護

csrf token 用於form表單中,作用是跨站請求偽造保護。如果不用 csrf token 標籤,在用 form 表單時,要再次跳轉頁面會報403許可權錯誤。用了 csrf token 標籤,在 form 表單提交資料時,才會成功。解析 首先,向瀏覽器傳送請求,獲取登入頁面,此時中介軟體 cs...