SaaS-WAF 中需要用户在源站实例绑定的安全组(如:云服务器 CVM、负载均衡 CLB 等)中放通 WAF 回源 IP,避免由 WAF 转发回源站服务器的正常流量被误判断为异常攻击而被拦截,本文档将指导您如何设置安全组。
背景信息
安全组是腾讯云提供的实例级别防火墙,可对云产品进行入或出流量控制,更多介绍请参见 安全组概述。如果您的源站服务器绑定了安全组,您需要设置放行 WAF 回源 IP 段的安全组规则,允许来自 Web 应用防火墙的回源地址访问网站,保证 Web 业务稳定性。同时,也可以设置阻断非 Web 应用防火墙的回源地址访问网站,有效地避免绕过 Web 应用防火墙的请求访问,避免绕过 WAF 请求,提升源站安全性。
前提条件
仅支持位于腾讯云上的实例(如:云服务器 CVM、负载均衡 CLB等)在安全组中放通 WAF 回源 IP。
获取 WAF 回源 IP 地址
1. 登录 Web 应用防火墙控制台,在左侧导航栏顶部,将控制台切换至实例所在区域(中国大陆/非中国大陆)。
2. 在左侧导航栏中,选择接入管理 > 域名接入,在域名列表回源地址列可查看回源 IP 地址。
3. 单击查看,并复制域名的全部回源地址。
配置安全组
获取 WAF 回源 IP 段后,您需要在源站绑定的安全组中设置放行 WAF 的回源 IP 段,避免 WAF 转发回源站的正常业务请求被误拦截。
创建安全组
您可参考本步骤创建一个新的安全组,若您的源站实例已关联安全组,可跳过此步。
1. 登录 云服务器控制台,在左侧目录中,单击安全组。
2. 进入安全组页面,选择地域,单击新建,根据要求填写信息,填写完成后,单击确定。创建安全组详细说明请参见创建安全组。
添加安全组规则
1. 登录 私有网络控制台,在左侧导航栏中,选择安全 > 安全组。
2. 在安全组页面,找到需添加规则安全组,单击其 ID 进入详情页。
3. 在入站规则页面中,单击添加规则。
4. 在弹出框中填写相关信息,类型选择自定义,来源中填写需要放行的 WAF 回源 IP,协议端口填写 TCP:443,80 或根据接入域名配置中自定义的协议和回源端口填写协议、端口,策略选择允许,填写完毕后,单击确定。添加安全组规则详细说明请参见 添加安全组规则。
关联实例至安全组
在安全组中添加放行 WAF 回源 IP 的规则后,您需要设置源站实例关联此安全组。
1. 登录 私有网络控制台,在左侧导航栏中,选择安全 > 安全组。
2. 在安全组页面,选择实例所在地域,找到需要设置规则的安全组。
3. 在需要设置规则的安全组行中,单击操作列的管理实例。
4. 在关联实例页面,单击新增关联。
5. 在新增实例关联窗口中,勾选安全组需要绑定的实例,单击确定。安全组支持关联云服务器、负载均衡等实例。
说明:
