最近，主機(jī)幫發(fā)現(xiàn)網(wǎng)站服務(wù)器經(jīng)常CPU占滿，帶寬被占滿，于是觀察了下網(wǎng)站請求日志，發(fā)現(xiàn)很多請求并沒有經(jīng)過百度云防護(hù)防火墻請求進(jìn)來的，因為主機(jī)幫網(wǎng)站的請求日志并沒有開啟CDN真實(shí)用戶IP識別，所以如果是通過百度云防火墻進(jìn)來的話，那么顯示的IP應(yīng)該是百度的回源IP：

但，現(xiàn)在除了百度回源IP外，還有大量的非百度回源IP請求進(jìn)來，說明這些非百度IP的請求是直接通過源服務(wù)器IP請求進(jìn)來的。

為什么會出現(xiàn)這種情況，主機(jī)幫也不是很清楚，可能是對方通過掃描全網(wǎng)IP，進(jìn)來的，也可能是做了搜索引擎回源進(jìn)來的，也可能是同臺服務(wù)器的網(wǎng)站直接解析暴露的，不過這都不重要，今天我們來學(xué)習(xí)下這種直接繞過百度云防護(hù)WAF攔截的IP，要如何解決。

方法1：服務(wù)器安全組/防火墻攔截

這種是通過查看網(wǎng)站日志，把不是CDN回源的請求IP攔截，比如66.249.79.5、66.249.79.6就是日志里典型的掃描IP，通過設(shè)置端口規(guī)則攔截，如下圖：

不過，這種方法有個缺點(diǎn)，如果繞過防火墻的IP過多設(shè)置起來比較麻，或者對方更換IP，就需要重新設(shè)置禁止。

2 服務(wù)器禁止對外開放 只放開防火墻回源IP請求

通過設(shè)置服務(wù)器安全組或者防火墻把80和443端口禁止對外訪問，然后添加百度云防護(hù)回源IP段訪問白名單，這樣你的網(wǎng)站請求只能通過百度云防護(hù)訪問進(jìn)來。

缺點(diǎn)是，如果你的服務(wù)器里有別的域名，而且這個域名并沒有接入百度云防護(hù)，那么會影響這個網(wǎng)站的正常訪問。

3 在nginx網(wǎng)站配置文件里添加只允許百度云防護(hù)回源IP段訪問

這個方法完美解決了上面的缺點(diǎn)，只允許百度云防護(hù)回源IP段訪問，其它IP段訪問一律403 如下圖：

在網(wǎng)站配置里添加添加：

#########################################################################
# 只允許百度云防護(hù)回源IP段，其它IP一律403
#########################################################################
# IPV4 單IP /32
allow 114.111.24.152/32;
allow 106.13.248.83/32;
allow 114.111.24.217/32;
allow 114.111.24.136/32;
allow 106.13.244.72/32;
allow 106.13.248.135/32;
allow 114.111.24.230/32;
allow 106.13.248.235/32;
allow 106.13.244.114/32;
allow 106.13.244.161/32;

# IPV4 段
allow 114.111.20.32/27;
allow 111.63.71.192/26;
allow 150.138.245.192/26;
allow 119.188.178.192/26;
allow 119.188.179.192/26;

# 拒絕其它所有
deny all;
#########################################################################  

保存后，重啟nginx服務(wù)，即可生效，此時通源服務(wù)器IP訪問網(wǎng)站的，都會顯示403

需要注意的事，此使用此方法一定要關(guān)掉CDNcdn來源IP解析（識別訪客真實(shí)用戶IP），因為會影響nginx攔截。

4.修改網(wǎng)站訪問端口

通過把服務(wù)器網(wǎng)站80端口和443端口改成別的端口，然后在百度云防護(hù)接入配置里修改對應(yīng)的回源端口即可。

這種方法的好處是，有效隱藏了源服務(wù)器網(wǎng)站的對外端口，使源服務(wù)器更安全。

好了，以上就是一些解決繞過百度云防護(hù)web應(yīng)用防火墻WAF的訪問網(wǎng)站的一些措施，希望可以幫到大家，如果有不懂的，可以留言咨詢。