云WAF(Web应用防火墙)和源站之间的加密设置至关重要,它确保了用户流量从云WAF到你的实际服务器(源站)之间的传输安全,防止中间人攻击和数据泄露。以下是几种常见的加密设置方案及其配置方法:
核心方案:HTTPS 回源(推荐)
这是最安全、最推荐的方式。云WAF 使用 HTTPS 协议与你的源站服务器通信。
配置步骤:
- 源站配置 HTTPS 证书
- 在你的源站服务器(Web 服务器如 Nginx, Apache, IIS)上安装有效的 SSL/TLS 证书。
- 确保证书由受信任的 CA 颁发,或者云 WAF 服务商信任你使用的自签名证书(部分 WAF 支持)。
- 配置 Web 服务器监听 443 端口并启用 HTTPS。
- 云 WAF 控制台设置
- 登录你的百度云 WAF 管理控制台。
- 找到网站/域名的配置页面。
- 回源设置:
- 回源协议: 选择
HTTPS。 - 回源端口: 通常设置为
443(除非你的源站 HTTPS 使用其他端口)。 - (关键)源站证书校验:
- 启用 SSL/TLS 证书验证: 强烈建议启用。这确保云 WAF 只与持有有效、可信证书的源站通信。
- 证书信任策略:
- 信任公共 CA 颁发的证书: 最常见的选择。
- 上传源站证书: 如果你的源站使用的SSL证书,你需要在 WAF 控制台上传该证书或其根 CA/中间 CA 证书,以建立信任。务必妥善保管私钥!
- 回源地址:配置网站的源IP或者访问源域名,确保WAF可以连接上服务器。
- 回源协议: 选择
- 源站防火墙/IP 白名单(重要安全加固)
- 在源站服务器的防火墙(安全组、主机防火墙如 iptables/firewalld)上,仅允许百度云 WAF 服务商提供的回源 IP 地址段访问 443 端口。
- 禁止任何其他公网 IP 直接访问源站的 443 端口。这是防止攻击者绕过云 WAF 直接攻击源站的关键步骤。
- 你需要定期从云 WAF 服务商处获取并更新其回源 IP 地址列表。
方案二:HTTP 回源 + IP 白名单(不推荐,安全性较低)
百度云 WAF 使用 HTTP 协议回源到源站。仅应在无法使用 HTTPS 回源且充分评估风险后使用。
配置步骤:
- 源站配置
- Web 服务器监听 80 端口 (HTTP)。
- 重要: 确保源站服务器上没有配置 SSL 证书或监听 443 端口(或严格限制访问),避免出现 HTTP/HTTPS 混合内容或意外暴露 HTTPS 端点。
- 云 WAF 控制台设置
- 回源协议: 选择
HTTP。 - 回源端口: 设置为
80(或源站 HTTP 实际端口)。
- 回源协议: 选择
- 源站防火墙/IP 白名单(极其重要)
- 必须在源站防火墙(安全组、主机防火墙)上,仅允许云 WAF 服务商提供的回源 IP 地址段访问 80 端口。
- 严格禁止任何公网 IP 直接访问源站的 80 和 443 端口。这是唯一的安全保障,防止明文流量被窃听和源站被直接攻击。
为什么不推荐?
- 明文传输: 数据在云 WAF 和源站之间以未加密形式传输,存在被窃听、篡改的风险。
- 依赖 IP 白名单: 安全性完全依赖于 IP 白名单的正确配置和维护。如果白名单泄露、配置错误或被绕过,源站直接暴露。
- 合规性问题: 通常不符合 PCI DSS 等安全合规要求。
方案三:专用通道/内网回源(最高安全,适用于混合云/私有云)
如果你的源站部署在与云 WAF 服务商同云(如阿里云 ECS)、通过专线(如 AWS Direct Connect, Azure ExpressRoute)连接的私有 IDC,或通过 VPC 对等/云企业网连接,可以利用云服务商的内网回源功能。
特点与配置:
- 网络隔离: 流量通过云服务商的内部骨干网传输,不经过公网。
- 高安全性: 物理隔离大大降低了被拦截的风险。
- 配置:
- 在云 WAF 控制台选择内网回源或指定源站为同地域/通过专线连接的云服务器内网 IP 或负载均衡内网地址。
- 回源协议仍可选择 HTTP 或 HTTPS。
- 即使走内网,也强烈建议使用 HTTPS 回源,提供端到端的加密和身份验证(纵深防御)。
- 源站防火墙仍需配置,仅允许来自 WAF 服务内网地址段或连接专线的特定 CIDR 的访问。
关键配置项总结与注意事项
| 配置项 | 推荐值/操作 | 重要性/说明 |
|---|---|---|
| 回源协议 | HTTPS (强烈推荐) / HTTP (仅评估风险后使用) | HTTPS 提供传输层加密和源站身份验证。 |
| 回源端口 | HTTPS: 443 / HTTP: 80 | 匹配源站服务器监听端口。 |
| 证书验证 | 启用 | 防止 WAF 连接到假冒源站。必须信任源站证书(公共 CA 或上传私有证书)。 |
| 回源 Host 头 | 用户访问的域名 (e.g., www.yourdomain.com) | 确保源站虚拟主机能正确响应请求。 |
| 源站 IP 白名单 | 必须配置 | 仅允许云 WAF 的官方回源 IP 段访问源站端口 (80/443)。阻断所有公网访问。 |
| 源站服务器 HTTPS 配置 | 安装有效证书,监听 443 端口,强加密套件 | 保障回源链路安全。 |
| SNI | 源站是多 HTTPS 主机时启用 | 指示源站返回哪个域名的证书。 |
| 健康检查 | 配置 HTTPS 健康检查 (如果回源用 HTTPS) | 确保 WAF 能正确探测源站状态。 |
| TLS 版本 | 源站禁用 SSLv2/SSLv3, 推荐 TLS 1.2+ | 使用过时协议存在安全风险。 |
常见问题 (FAQ)
- 源站一定要有公网 IP 吗?
- 不需要。 源站可以只有内网 IP(如部署在私有子网)。只要云 WAF 能通过内网(同云)、专线或代理(需特殊配置)访问到它,并且严格配置了源站防火墙/IP 白名单(仅允许 WAF 访问),源站本身无需公网 IP 更安全。
- 云 WAF 回源需要证书,源站证书到期怎么办?
- 在到期前续签并更新源站证书。 同时,如果 WAF 配置了严格的证书验证,也需要在 WAF 控制台更新信任的证书(如果使用自签名或私有 CA)。务必监控证书有效期!
- 能用自签名证书吗?
- 可以,但需额外步骤: 你必须在云 WAF 控制台上传该自签名证书或其根 CA 证书,让 WAF 信任它。管理自签名证书的更新和分发比公共证书更复杂。
- 为什么设置了 HTTPS 回源还是报错?
- 检查源站证书是否有效、受信任(WAF 是否信任其 CA)。
- 检查源站是否在监听 443 端口且防火墙允许 WAF IP 访问。
- 检查回源 服务器IP 是否正确。
- 查看 WAF 和源站 Web 服务器的错误日志。
- IP 白名单在哪里找?
- 查阅云 WAF 服务商的官方文档。 所有主流厂商(阿里云、腾讯云、AWS、Cloudflare、Imperva 等)都会提供其回源节点的 IP 地址段列表,通常有文档链接或 API 获取。这个列表可能会变动,需要定期检查和更新防火墙规则。
总结:
- 强制使用 HTTPS 回源是保障云 WAF 和源站之间通信安全的黄金标准。
- 严格配置源站防火墙/IP 白名单,只允许云 WAF 的回源 IP 访问源站端口(80/443),拒绝所有其他公网访问,这是防止源站被直接攻击的生命线。
- 避免使用不加密的 HTTP 回源,除非有特殊原因且已实施严格 IP 白名单。
- 仔细管理证书(有效期、信任关系)和回源 IP 白名单(及时更新)。
