客戶端真實(shí) IP 及端口
XWAF 獲取通過 CDN 等代理服務(wù)器訪問的客戶端真實(shí) IP
一般 CDN 會(huì)通過 XFF(X-Forwarded-For) 或 X-Real-IP 來傳遞來訪用戶的真實(shí) IP,但是不排除用戶構(gòu)造該字段偽造請(qǐng)求 IP 的情況出現(xiàn)。
如果想在 WAF 端獲取到來訪用戶的真實(shí)的 IP,需要做如下操作
1、打開 WEB 應(yīng)用防火墻控制臺(tái)的【域名管理】,選中需要設(shè)置的域名,點(diǎn)擊【編輯】
2、打開后,開啟【W(wǎng)AF 前是否具有代理】選項(xiàng),并在【真實(shí) IP 字段設(shè)置】處填入 真實(shí)IP 字段(該字段請(qǐng)與您的CDN供應(yīng)商確認(rèn)真實(shí) IP 字段)
3、配置完成后,點(diǎn)擊【確定】,即可讓 XWAF 獲取到客戶到客戶端真實(shí) IP。
源站獲取客戶端真實(shí) IP
XWAF 會(huì)在回源請(qǐng)求頭中添加 X-Real-IP 和 X-Forwarded-For 兩個(gè)字段來傳遞來訪用戶的真實(shí) IP,在源站服務(wù)器中可進(jìn)行相應(yīng)的配置以便獲取這兩個(gè)字段的值。
X-Real-IP 與 X-Forwarded-For 的區(qū)別
代理服務(wù)器(比如 XWAF)會(huì)把請(qǐng)求的來源 IP 寫入 X-Real-IP 字段,然后發(fā)送給源站,這個(gè)字段只會(huì)有一個(gè) IP 地址;而每經(jīng)過一級(jí)代理,代理服務(wù)器會(huì)把來源追加到 X-Forwarded-For 中,在多次代理的情況下,則該字段會(huì)有多個(gè) IP 地址(真實(shí) IP, 代理服務(wù)器 1, 代理服務(wù)器 2, ...)。
源站獲取客戶端真實(shí)端口
XWAF 會(huì)在回源請(qǐng)求頭中添加 X-Real-Port 字段來傳遞來訪用戶的真實(shí)端口,源站可通過取這個(gè)頭部字段的值獲取用戶客戶端真實(shí)的端口。
示例配置
對(duì)于常見的 HTTP 服務(wù)器或 Web 應(yīng)用程序,可以通過下面的方法來獲取客戶端真實(shí) IP:
Nginx
對(duì)于 Nginx 服務(wù)器,可以使用 $http_x_real_ip 取得 X-Real-IP 字段的值,使用 $http_x_real_port 取得 X-Real-Port 字段的值。利用 Nginx 的 http_realip_module 模塊可以讓 $remote_addr 顯示為客戶端的真實(shí) IP,添加的配置如下:
set_real_ip_from 回源IP段; # 回源IP段請(qǐng)參考“XWAF注意事項(xiàng)&FAQ”,多個(gè)IP段需多條指令。 real_ip_header X-Forwarded-For; # 也可以使用 X-Real-IP real_ip_recursive on; # 若WAF前有CDN等代理,需要此指令設(shè)為 on,否則不用。CopyErrorSuccess
若源站的 Nginx 作為代理服務(wù)器,在前文配置的基礎(chǔ)上還可在配置中添加以下內(nèi)容使得后端應(yīng)用也能通過 X-Real-IP 或 X-Forwarded-For 獲取的客戶端真實(shí) IP:
# ... location / { # ... proxy_set_header Host $host; proxy_set_header X-Real-IP $remote_addr; proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; } #
ASP
Request.ServerVariables("X-Real-IP")
JSP
request.getHeader("X-Real-IP")
PHP
$_SERVER["HTTP_X_FORWARDED_FOR"]
說明:
如果上層鏈路為 CDN 等第三方代理服務(wù)器,有可能無法獲取真實(shí) IP。此種情況需要參照前文WAF 獲取通過 CDN 等代理服務(wù)器訪問的客戶端真實(shí) IP提前在域名設(shè)置中開啟【W(wǎng)AF 前是否具有代理】選項(xiàng)并指定客戶端真實(shí) IP 字段。
京公網(wǎng)安備11030102000056號(hào)
京ICP備09061941號(hào)-4 
商品已成功加入購(gòu)物車
