一、概述
为确保网站防护接入能顺利进行,并保证接入后网站能安全运行,请按照以下流程执行实施工作:
(1)将安恒云Web应用防火墙的IP设为白名单。
(2)修改域名解析方式。
(3)执行网站安全运行保障措施。
二、网站防护接入流程
2.1、设置白名单
安恒云Web应用防火墙采用反向代理模式。所有正常流量经过安恒云Web应用防火墙后访问者IP都会转换为安恒云Web应用防火墙的回源IP。
由于回源IP相对固定,分摊到每个回源IP的流量较大,可能会被网站本地安全设备(如防火墙、IPS、WAF、安全狗)或云WAF(如安全狗、云锁、阿里云盾)等设备误认为安恒云Web应用防火墙回源IP在对源站进行cc攻击,从而阻断安恒云Web应用防火墙回源IP访问源站,造成正常访问业务中断。
因此,请确保安恒云Web应用防火墙回源节点IP已被设置为白名单。IP清单请参见附录1-安恒云Web应用防火墙回源IP。
如网站部署在阿里云,默认开启阿里云盾,需要在阿里云上设置白名单,详情请参见附录3-阿里云白名单设置。
2.2、修改域名解析方式
请参考网站所在DNS管理平台操作指引(可参见附录2-常见DNS管理平台修改DNS配置)停用原域名DNS解析方式,修改DNS解析方式为CNAME并指向安恒云Web应用防火墙云防护平台,完成业务正式接入。
本批网站对应别名地址如下。
| 域名 | 别名地址(CNAME) |
|---|---|
| www.websaas.cn | websaas-cn.cname.saaswaf.com |
三、执行网站安全运行保障措施
为最大程度保障网站的安全运行,请您协助做好以下方面的工作:
- 已接入安恒云Web应用防火墙的网站域名禁用IP方式进行访问。
- 带www的子域名网站接入安恒云Web应用防火墙后,对于不带www的根域名网站禁用访问。
- 加强同IP的其他网站的安全防护,否则可能存在利用其他网站的安全风险入侵已接入的网站服务器。
- 在不影响同IP的其他网站正常访问的情况下,建议禁用其他IP访问源站。
- 加固网站服务器安全:加强网站服务器的日常维护、做好网站服务器的访问控制、限定开放访问IP白名单、限定开放高危端口/服务、定期对网站服务器进行安全体检,及时消除可能存在的安全隐患。
- 加强网站弱点修复:定期对网站开展安全风险评估,及时消除网站的漏洞风险,提升网站本身的安全性。
- 及时清理网页后门:网站发布、升级、迁移前和日常运维过程中都要对网站源文件进行网页后门扫描和彻底清理。
- 加强用户账号管理:加强对网站管理后台账号、FTP/SSH/VNC/远程桌面等远程维护工具账号的管理,尽可能使用强密码,并保证定期更换密码。
四、附录1-安恒云Web应用防火墙回源IP
| 安恒云Web应用防火墙回源IP | ||
|---|---|---|
| 103.3.112.0/24 | 121.194.14.0/24 | 202.100.168.144/29 |
| 111.1.25.0/24 | 122.228.10.32/27 | 211.65.195.0/24 |
| 111.1.61.0/24 | 123.129.198.224/27 | 220.191.231.0/24 |
| 112.13.67.96/29 | 124.160.116.192/28 | 222.80.229.0/24 |
| 112.17.252.32/28 | 180.96.16.224/27 | 27.221.108.32/27 |
| 115.26.79.0/24 | 182.140.213.96/27 | 42.51.199.0/24 |
| 116.178.64.128/25 | 183.61.189.160/27 | 58.205.213.0/24 |
| 116.178.65.0/24 | 183.129.179.80/27 | 60.191.151.0/24 |
| 116.211.138.192/28 | 183.131.19.16/28 | 183.2.199.72/29 |
| 119.188.95.112/28 | 183.136.237.192/27 | 183.245.21.16/28 |
| 119.188.198.160/28 |
五、附录2-常见DNS管理平台修改DNS配置
5.1、DNSPod修改域名解析
(1)使用DNSPod平台账户登录平台,在菜单栏选择“域名解析”,展示域名列表页面,如下图所示。 
(2)点击需要设置解析的域名,页面跳转至解析记录设置界面,如下图所示。
(3)点击<添加记录>,记录类型选择为“CNAME”并填写主机记录值和指向的地址记录值,再点击<保存>。 
(4)在域名的解析记录列表,找到原A记录类型,点击<暂停>,停用A记录。
5.2、阿里云(原万网)修改域名解析
(1)登录阿里云 http://www.aliyun.com。
(2)进入管理控制台,选择“域名/域名列表”,并点击对应域名右侧的<解析>。 
(3)进入域名解析里的高级设置,选择要修改的域名原解析记录,点击<修改>。
(4)将记录类型修改为CNAME记录,将记录值修改为安恒云Web应用防火墙别名地址,然后点击<保存>。 
5.3、易名中国修改域名解析
(1)登录平台,选择“管理中心/我的菜单/管理平台/域名管理/我的域名”,查询要解析的域名,点击<解析>。
(2)点击<添加记录>。 
(3)将需要防护的域名以CNAME方式解析到安恒云Web应用防火墙分配的别名上(如果解析以其他类型解析存在,请先删除再添加)。
5.4、西部数码修改域名解析
(1)登录管理中心,选择“业务管理/域名管理”,如下图所示。 
(2)页面显示购买的域名,点击域名或右侧的<管理>,如下图所示。 
(3)选择“域名解析”页签,点击<域名解析>,如下图所示。 
(4)将需要防护的域名解析至安恒云Web应用防火墙对应的别名地址,等待生效。
5.5、新网修改域名解析
(1)登录会员中心,点击<我的产品>,点击域名后的<解析>或<管理>。 
(2)进入解析页面,将需要防护的域名解析至安恒云Web应用防火墙对应的别名地址,点击<添加>,等待生效。 
六、附录3-阿里云白名单设置
如网站部署在阿里云,默认开启了阿里云盾,建议您设置白名单解决因误判IP被拦截问题。详情请参见 https://help.aliyun.com/knowledge_detail/37914.html 。
(1)登录云盾管理控制台。
(2)选择“ddos防护/基础防护”。 
(3)在防护实例列表中,根据您的服务器选择地域,选择云服务器ECS、负载均衡SLB、或弹性公网EIP,找到您想要添加白名单的服务器,点击<查看详情>。 
(4)选择扫描拦截页签,点击<白名单设置>。
(5)点击<添加>,输入“0.0.0.0”,添加为白名单。
原文链接:https://www.anhengcloud.com/help/faq/cloudsafe/waf/siteaccess.html
原创文章,作者:优速盾-小U,如若转载,请注明出处:https://www.cdnb.net/bbs/archives/21133
