Защита происхождения

Архитектура

Маленькие знания, большие задачи! Эта статья участвует в "Необходимые знания для программистов«Творческая деятельность.

Правильная настройка группы безопасности ECS исходного сайта и белого списка SLB может помешать хакерам напрямую атаковать IP-адрес вашего исходного сайта. В этой статье представлены соответствующие методы настройки защиты исходного сервера.

Исходная информация

инструкцияЗащита происхождения не требуется. Если защита исходного сайта не настроена, это не повлияет на обычную переадресацию службы, но это может привести к тому, что злоумышленники смогут обойти брандмауэр веб-приложения и напрямую атаковать исходный сайт, когда IP-адрес исходного сайта будет раскрыт.

Как подтвердить утечку с исходного сайта?

Вы можете напрямую использовать инструмент Telnet в облачной среде, отличной от Alibaba Cloud, чтобы подключиться к служебному порту общедоступного IP-адреса исходного сайта и проверить, успешно ли установлено соединение. Если он может быть подключен, это означает, что исходный сайт имеет риск утечки.Как только хакер получит общедоступный IP-адрес исходного сайта, он может обойти WAF и напрямую получить к нему доступ; если он не может подключиться, это означает, что есть в настоящее время нет риска утечки сайта источника.

Например, проверьте, могут ли IP-порты 80 и 800 исходной станции, которые были подключены к защите WAF, успешно установить соединение.Результат проверки показывает, что порты могут быть соединены, что указывает на риск утечки исходной станции .
端口可连通,waf

УведомлениеСуществуют определенные риски, связанные с настройкой групп безопасности. Перед настройкой защиты исходного сайта обратите внимание на следующее:

  • Убедитесь, что все доменные имена веб-сайтов в экземпляре ECS или SLB подключены к брандмауэру веб-приложения.
  • Когда кластер WAF выходит из строя, запросы на доступ к доменному имени могут быть обойдены обратно к источнику, чтобы обеспечить нормальный доступ к веб-сайту. В этом случае, если исходный сайт настроен с защитой группы безопасности, исходный сайт может быть недоступен из общедоступной сети.
  • Когда кластер WAF расширяется до нового сегмента сети с возвратом к источнику, если исходный сайт настроен с защитой группы безопасности, могут часто возникать ошибки 5xx.

Шаги

  1. АвторизоватьсяКонсоль брандмауэра веб-приложений Yundun.

  2. Перейдите на страницу Администрирование > Конфигурация веб-сайта и выберите регион, в котором находится экземпляр WAF.

  3. Щелкните список IP-сегментов обратной связи брандмауэра веб-приложения, чтобы просмотреть все IP-сегменты обратной связи брандмауэра веб-приложения.

    инструкцияСегмент IP-сети обратного источника WAF будет регулярно обновляться, обратите внимание на уведомление о регулярных изменениях. Своевременно добавляйте обновленный сетевой сегмент обратного IP-адреса в соответствующие правила группы безопасности, чтобы избежать ложного перехвата.

    网站配置

  4. В диалоговом окне сегмента обратного IP-адреса WAF нажмите «Копировать сегмент IP», чтобы скопировать все IP-адреса обратного источника.
    waf回源IP

  5. Выполните следующие шаги, чтобы настроить исходный сайт, чтобы разрешить доступ только с исходного IP-адреса WAF.

    • Происхождение ECS

      1. перейти кСписок экземпляров ECS, найдите экземпляр ECS, для которого необходимо настроить группу безопасности, и нажмите «Управление» в столбце «Действия».

      2. Перейдите на страницу группы безопасности для этого экземпляра.

      3. Выберите целевую группу безопасности и нажмите «Настроить правила» в столбце «Действия».

      4. Щелкните Добавить правило группы безопасности и настройте следующие правила группы безопасности:

        инструкцияОбъект авторизации правила группы безопасности поддерживает ввод IP-сегмента сети в формате «10.xxx/32», поддерживает добавление нескольких групп объектов авторизации (разделенных символом «,») и поддерживает добавление до 10 групп объектов авторизации. .

        • Тип сетевой карты: Интранет

          инструкцияЕсли тип сети экземпляра ECS — классическая сеть, тип сетевой карты должен быть установлен как общедоступная сеть.

        • Обычное направление: входящее направление

        • Политика авторизации: Разрешить

        • Тип протокола: TCP

        • Тип авторизации: доступ к сегменту адреса

        • Диапазон портов: 80/443

        • Объект авторизации: вставьте все IP-сегменты брандмауэра веб-приложений обратно к источнику, скопированные на шаге 4.

        • Приоритет: 1

      5. После добавления правил группы безопасности для всех IP-сегментов WAF обратно к источнику добавьте следующие правила группы безопасности, чтобы запретить доступ ко всем IP-сегментам во входящем направлении общедоступной сети с приоритетом 100.

        • Тип сетевой карты: Интранет

          инструкцияЕсли тип сети экземпляра ECS — классическая сеть, тип сетевой карты должен быть установлен как общедоступная сеть.

        • Обычное направление: входящее направление

        • Политика авторизации: Запретить

        • Тип протокола: TCP

        • Диапазон портов: 80/443

        • Тип авторизации: доступ к сегменту адреса

        • Объект авторизации: 0.0.0.0/0

        • Приоритет: 100

      инструкцияЕсли сервер, защищенный этой группой безопасности, также взаимодействует с другими IP-адресами или приложениями, эти взаимодействующие IP-адреса и порты должны быть освобождены через группу безопасности вместе или в конце должна быть добавлена ​​политика полного выпуска портов с самым низким приоритетом.

    • Исходный сайт — SLB. Аналогичным образом IP-адрес обратного источника брандмауэра веб-приложения добавляется в белый список соответствующего экземпляра балансировки нагрузки. Подробнее см.Настройка управления доступом к белому списку балансировки нагрузки.

      1. АвторизоватьсяКонсоль управления балансировкой нагрузки, перейдите на страницу «Контроль доступа» и нажмите «Создать группу политик контроля доступа».
      2. Введите имя группы политик, добавьте сегмент IP-сети WAF обратно к источнику и нажмите OK.
      3. На странице управления экземпляром выберите соответствующий экземпляр балансировки нагрузки.
      4. На вкладке «Мониторинг» выберите запись мониторинга порта и нажмите «Дополнительно» > «Установить контроль доступа».
      5. Включите управление доступом, выберите метод управления доступом в качестве белого списка, выберите группу политик управления доступом для созданного сегмента IP-сети с возвратом к источнику WAF и нажмите OK.

Следующие шаги

После завершения настройки защиты исходного сервера вы можете проверить, действует ли конфигурация, проверив, могут ли порты IP80 и 8080 исходного сервера, подключенного к защите WAF, успешно установить соединение. Если порт дисплея не может быть подключен напрямую, но доступ к службам веб-сайта по-прежнему возможен, это означает, что конфигурация защиты исходного сайта выполнена успешно.

Buy me a cup of coffee :)

Категории