中国站
帮助中心 > 安全 > 高防IP > 最佳实践 > 源站IP暴露的解决办法

源站IP暴露的解决办法

说明 更换源站 IP 之前,请务必确认已消除所有可能暴露源站 IP 的因素。

排查源站IP暴露的原因

更换源站服务器的IP地址之前,请务必确认已消除了所有可能暴露源站IP的因素,避免源站IP更换后再次暴露。建议您从以下方面进行排查:

  1. 源站服务器中是否存在木马、后门等安全隐患。

  2. 源站服务器上是否存在没有配置高防IP的其他服务,如邮件服务器的MX(Mail Exchanger)记录、NS(Name Server)记录等除Web记录以外的记录。

    说明:
    请仔细检查网站域名的DNS解析记录,确认没有任何记录直接解析到源站服务器的IP地址。
    可借助17测等工具来测试。

  3. 是否存在网站源码信息泄露,如phpinfo()指令中可能包含的IP地址等泄露。

  4. 是否存在命令执行类漏洞

  5. 是否存在恶意扫描。您可在配置高防IP后设置源站保护,在源站服务器上只放行高防IP的入方向流量。

更换源站IP

确认已消除所有可能暴露源站IP的因素后,您可更换源站服务器的IP地址。

不换源站IP或再次暴露

如您不想更换源站IP或已经更换过源站IP但仍存在IP暴露的情况,建议您在后端云服务器前部署一台负载均衡(SLB)服务器。
您可以使用以下网络架构:客户端 → 高防IP → 负载均衡服务器 → 云服务器。

说明:
在此网络架构下,您需要在高防IP控制台中填写负载均衡服务器的IP作为回源地址。

采用这种架构后,即使攻击者直接攻击源站,导致源站IP被黑洞,通过高防IP访问服务器依然不受影响。因为负载均衡服务器到源站的访问流量通过内网传输,即使源站IP被黑洞,高防IP仍然可以通过负载均衡服务器访问源站。