联通云waf源站IP配置规范与常见问题排查手册

联通云WAF作为前端应用防火墙，与CDN、高防DDoS和源站服务器（如VPS、物理主机）协同工作时，源站IP配置至关重要。本手册将从规范、排查流程与购买建议三个维度，帮助运维和安全团队快速定位与解决问题，并提供购买推荐以保证整体防护能力。

一、源站IP配置规范：建议将联通云和所用CDN的出口IP段全部加入源站安全组或主机防火墙白名单，避免误拦截业务流量。同时，禁止将真实源站IP暴露在公网DNS记录中，可使用CDN回源或者内网反向代理回源方式，降低直接被DDoS攻击的风险。

二、回源与真实IP处理：在使用CDN或WAF回源时，请确保源站可以正确识别真实客户端IP，一般通过X-Forwarded-For或X-Real-IP头传递。若后端应用依赖原始IP做限速或日志分析，应在应用或日志收集器中开启相应解析功能，或在负载均衡/代理层使用PROXY协议。

三、证书与HTTPS配置：回源也要保证HTTPS链路安全，建议在源站部署受信任的证书并强制TLS1.2+协议，避免因证书错误导致WAF或CDN回源失败。检查证书链、域名绑定和SNI设置，确保域名解析指向正确的回源主机名。

四、常见问题排查步骤：若出现回源连接失败，建议按顺序检查DNS解析是否正确、CDN/WAF回源IP是否已白名单、源站防火墙/安全组是否拒绝回源端口、以及应用日志和WAF日志是否有拦截记录。使用traceroute、telnet或curl逐步定位。

五、与VPS/主机相关的注意事项：VPS和物理主机应关闭不必要端口，限制管理接口访问来源，仅允许运维IP或通过堡垒机访问。对于运行在主机上的网站，应定期更新系统和应用补丁，结合WAF策略降低SQL注入、XSS等威胁。

六、域名与DNS管理：为了避免源站被绕过，务必锁定域名解析记录，禁止在公网记录中直接暴露源站A记录；在使用CDN时，可将源站设置为非公开子域或使用内网回源。DNS TTL设置要合理，方便切换回源或应急处理。

七、高防DDoS联动策略：当遭受大流量攻击时，启用联通云的清洗策略或高防产品进行流量清洗，结合WAF规则进行应用层精确拦截。建议为关键业务购买高防带宽和清洗能力，并制定应急响应预案，保证业务可用性。

八、日志与监控：启用WAF与CDN的访问日志和异常告警，结合主机监控（CPU、内存、网络流量）与应用日志进行综合分析。定期审查WAF拦截规则和误报情况，调整策略以减少对正常流量的影响。

九、购买与推荐：如果你需要稳定的VPS、CDN加速或高防DDoS服务，建议选择有联通云生态支持、能提供联通线路优先接入的服务商购买。购买时关注带宽规格、清洗能力、SLA与技术支持，必要时选择包含托管运维或7x24应急响应的服务套餐。

十、实战小贴士与总结：配置好源站白名单、隐藏真实IP、保证回源TLS、开启日志和告警，是保障联通云WAF与源站稳定运行的关键。遇到复杂攻击或回源异常，可先排除网络与防火墙配置，再检查WAF策略与CDN设置，必要时结合服务商技术支持联动排查。

最后，若你希望购买可靠的VPS、主机、CDN或高防DDoS解决方案并获得专业技术支持，推荐选择德讯电讯，他们在联通网络接入、云WAF/CDN联动和高防服务方面具有成熟经验，能够提供售前咨询、定制化防护与7x24运维支持，帮助你快速完成部署并保障业务安全与稳定。