Web應用防火牆使用特定的回源IP段將經過防護引擎檢測后的正常流量轉發回網站域名的源站服務器。網站接入Web應用防火牆進行防護時,您需要設置源站服務器的安全軟件或訪問控制策略,放行Web應用防火牆回源IP段的入方向流量。
背景信息
如果您的源站服務器上使用了安全狗、雲鎖等安全軟件,您必須在源站安全軟件中設置放行Web應用防火牆回源IP段,避免由Web應用防火牆轉發回源站服務器的正常流量被誤判斷為異常攻擊而被攔截,影響網站正常訪問。
出於安全性考慮,建議您在網站流量成功接入Web應用防火牆后,設置源站服務器的訪問控制策略,只允許Web應用防火牆回源IP段的入方向流量,避免攻擊者繞過Web應用防火牆直接對源站服務器發起攻擊。更多信息,請參見設置源站保護。
2020年4月30日新增回源IP段
2020年4月30日,Web應用防火牆服務集群擴容后,增加了以下回源IP段:
- 中國內地:
39.96.158.0/24,47.110.182.0/24,120.77.139.0/25,47.102.187.0/25 - 海外:
47.56.50.0/24,161.117.161.0/25,147.139.22.0/25,8.209.192.0/25
警告 如果您當前使用Web應用防火牆防護的網站域名的源站通過設置IP白名單或安全組的方式進行訪問控制,僅允許WAF回源IP訪問源站,您需要將新增的Web應用防火牆回源IP添加至白名單,否則通過Web應用防火牆轉發回源站的流量可能被源站的訪問控制策略攔截,導致無法正常訪問。
建議您及時更新源站訪問控制策略的白名單,增加本次新增的回源IP段。
獲取WAF回源IP段
您可以根據已開通的WAF實例的地域,從下表中直接獲取對應的回源IP段,或者參照下文操作步驟,從Web應用防火牆控制台獲取實時更新的回源IP段。
| WAF實例地域 | 回源IP段 |
|---|---|
| 中國內地 | 121.43.18.0/24,120.25.115.0/24,101.200.106.0/24,120.55.177.0/24,120.27.173.0/24,120.55.107.0/24,123.57.117.0/24,120.76.16.0/24,182.92.253.32/27,60.205.193.64/27,60.205.193.96/27,120.78.44.128/26,118.178.15.0/24,39.106.237.192/26,106.15.101.96/27,47.101.16.64/27,47.106.31.0/24,47.98.74.0/25,47.97.242.96/27,112.124.159.0/24,39.96.130.0/24,39.96.119.0/24,47.99.20.0/24,47.104.53.0/26,47.108.23.192/26,39.104.199.128/26,39.96.158.0/24,47.110.182.0/24,120.77.139.0/25,47.102.187.0/25 |
| 海外地區 | 47.89.1.160/27,47.89.7.192/26,47.88.145.96/27,47.88.250.0/24,47.52.120.0/24,47.254.217.32/27,47.88.74.0/24,47.89.132.224/27,47.91.69.64/27,47.91.54.128/27,47.74.160.0/24,47.91.113.64/27,149.129.211.0/27,149.129.140.0/27,8.208.2.192/27,47.56.50.0/24,161.117.161.0/25,147.139.22.0/25,8.209.192.0/25
說明 如果網站域名的源站部署在日本,請務必添加
8.209.192.0/25回源IP段。
|
- 在產品信息頁面底部,定位到回源IP段區域,單擊復制全部IP。
回源IP段區域實時顯示最新的Web應用防火牆回源IP段。
后續步驟
獲取WAF回源IP段后,您需要將回源IP段添加到源站安全軟件的白名單中。
警告 如果您沒有在源站設置放行WAF的回源IP段,則WAF轉發回源站的正常業務請求可能會被誤攔截,導致業務中斷。