說(shuō)明 更換源站 IP 之前��,請務(wù)必確認已消除所有可能暴露源站 IP 的因素���。
排查源站IP暴露的原因
更換源站服務(wù)器的IP地址之前��,請務(wù)必確認已消除了所有可能暴露源站IP的因素�,避免源站IP更換后再次暴露�。建議您從以下方面進(jìn)行排查:
源站服務(wù)器中是否存在木馬�����、后門(mén)等安全隱患�����。
源站服務(wù)器上是否存在沒(méi)有配置高防IP的其他服務(wù)�����,如郵件服務(wù)器的MX(Mail Exchanger)記錄��、NS(Name Server)記錄等除Web記錄以外的記錄�。
說(shuō)明:
請仔細檢查網(wǎng)站域名的DNS解析記錄�����,確認沒(méi)有任何記錄直接解析到源站服務(wù)器的IP地址��。
可借助17測等工具來(lái)測試�����。
是否存在網(wǎng)站源碼信息泄露����,如phpinfo()指令中可能包含的IP地址等泄露���。
是否存在命令執行類(lèi)漏洞����。
是否存在惡意掃描�����。您可在配置高防IP后設置源站保護�,在源站服務(wù)器上只放行高防IP的入方向流量����。
更換源站IP
確認已消除所有可能暴露源站IP的因素后���,您可更換源站服務(wù)器的IP地址�。
不換源站IP或再次暴露
如您不想更換源站IP或已經(jīng)更換過(guò)源站IP但仍存在IP暴露的情況�����,建議您在后端云服務(wù)器前部署一臺負載均衡(SLB)服務(wù)器����。
您可以使用以下網(wǎng)絡(luò )架構:客戶(hù)端 → 高防IP → 負載均衡服務(wù)器 → 云服務(wù)器����。
說(shuō)明:
在此網(wǎng)絡(luò )架構下�����,您需要在高防IP控制臺中填寫(xiě)負載均衡服務(wù)器的IP作為回源地址�����。
采用這種架構后����,即使攻擊者直接攻擊源站����,導致源站IP被黑洞���,通過(guò)高防IP訪(fǎng)問(wèn)服務(wù)器依然不受影響����。因為負載均衡服務(wù)器到源站的訪(fǎng)問(wèn)流量通過(guò)內網(wǎng)傳輸���,即使源站IP被黑洞��,高防IP仍然可以通過(guò)負載均衡服務(wù)器訪(fǎng)問(wèn)源站����。
計算
安全
數據庫
網(wǎng)絡(luò )和加速
AI應用
