开发者社区

文档建议反馈控制台

最新优惠活动

文章/答案/技术大牛

发布

WAF背后EKS的IP白名单

是指在使用云原生容器服务EKS（Elastic Kubernetes Service）时，通过Web应用防火墙（WAF）来限制访问EKS集群的IP地址列表。

WAF是一种用于保护Web应用程序免受常见的Web攻击的安全服务。它可以检测和阻止恶意的网络流量，包括SQL注入、跨站脚本攻击（XSS）、跨站请求伪造（CSRF）等。WAF背后的IP白名单是一种配置选项，允许用户定义允许访问EKS集群的IP地址范围。

IP白名单的优势在于可以提供更加严格的访问控制，只允许特定的IP地址或IP地址范围访问EKS集群，从而增强了安全性。通过限制访问EKS集群的IP地址，可以减少潜在的攻击面，防止未经授权的访问和恶意行为。

应用场景包括但不限于以下几个方面：

保护敏感数据：对于存储敏感数据的应用程序，使用IP白名单可以确保只有授权的IP地址可以访问，提高数据的安全性。
防止DDoS攻击：通过限制访问EKS集群的IP地址范围，可以减轻DDoS（分布式拒绝服务）攻击对集群的影响。
控制访问权限：IP白名单可以用于限制特定的用户、团队或组织访问EKS集群，确保只有授权的人员可以进行开发、测试或管理操作。

腾讯云提供了一系列与WAF和EKS相关的产品和服务，以下是其中几个推荐的产品和产品介绍链接地址：

腾讯云Web应用防火墙（WAF）：提供全面的Web应用安全防护，包括DDoS防护、恶意请求拦截、漏洞扫描等功能。详情请参考：https://cloud.tencent.com/product/waf
腾讯云容器服务（TKE）：提供高度可扩展的容器化应用程序管理平台，支持Kubernetes和EKS。详情请参考：https://cloud.tencent.com/product/tke
腾讯云安全组：用于配置网络访问控制规则，可以通过安全组规则限制访问EKS集群的IP地址范围。详情请参考：https://cloud.tencent.com/document/product/213/12452

通过使用WAF背后EKS的IP白名单，可以加强对EKS集群的访问控制和安全防护，保护容器化应用程序的安全性和稳定性。

相关搜索:使用EKS与IP白名单服务通信找到CDN背后的真实IP Kubernetes & Java:检索服务背后的Pod IP 白名单中的IP地址如何为我的EKS服务分配静态IP？如何查看CloudWatch日志流背后的IP地址使用范围的IP白名单 EKS，如何创建2个共享静态IP的LoadBalancer服务 ip白名单内的服务器基于txt文件的动态IP白名单流出webhook的流媒体Ip白名单 DescribeWafSourceIpSegment-获取waf实例的回源IP网段列表使用VPN时的雪花IP白名单范围为什么我的IP需要隔天上白名单？Spring boot通过https指定IP地址的白名单如果IP地址不是“秘密”的，那么IP地址白名单是否有用？从Kubernetes应用调用需要白名单IP的外部服务地理编码API与容器和IP白名单的集成 Kubernetes到具有IP白名单的外部端点的出站呼叫如何修复Ansible的URI模块中的IP白名单错误？

相关搜索:

页面内容是否对你有帮助？

有帮助

没帮助

相关·内容

WAF和RASP技术，RASP与WAF的“相爱相杀”

WAF全称叫Web Application Firewall，也就是web应用防火墙，和传统防火墙的区别是，它是工作在应用层的防火墙，主要针对web请求和响应进行检测和防护。

00

分析绕过一款适合练手的云 WAF

X-WAF 是一款适用中、小企业的云 WAF 系统，让中、小企业也可以非常方便地拥有自己的免费云 WAF。

00

那些可以绕过WAF的各种特性

在攻防实战中，往往需要掌握一些特性，比如服务器、数据库、应用层、WAF层等，以便我们更灵活地去构造Payload，从而可以和各种WAF进行对抗，甚至绕过安全防御措施进行漏洞利用。

01

【云安全最佳实践】几分钟实现对恶意IP地址进行拦截，腾讯云Web应用防火墙实在太香了！

在平时上网中，我们经常听到“xxx被拉入黑名单”、“把xxx加入白名单”，黑白名单成了禁止访问和允许访问的代名词，黑白名单是一种常见的安全机制，用于隔离流量，然后对隔离的流量采取特定操作。

几分钟实现对恶意IP地址进行拦截，腾讯云Web防火墙实在太香了！

来源：网络技术联盟站链接：https://www.wljslmz.cn/19806.html

02

Waf功能、分类与绕过

Web应用防火墙是通过执行一系列针对HTTP/HTTPS的安全策略来专门为Web应用提供保护的一款产品。

00

【说站】宝塔面板如何添加免费的waf防火墙？

目前除了用付费的宝塔防火墙插件之外，其实还有两种方式可以使用免费的Nginx防火墙功能：一个是可以在面板插件里面搜索“防火墙”可以找到第三方的免费防火墙插件，登陆面板安装就可以使用。还有一种方式是开启被隐藏的nginx防火墙模块，下面重点讲下如何开启隐藏的防火墙。

02

安全设备篇——WAF

WAF（Web应用层防火墙），顾名思义，既然带着个防火墙，就是阻断型的安全设备了。Waf也是常见的安全设备之一，用于暴露面web的防护，刚好前段时间很多博主也在狂吹雷池，这篇文章刚好借着雷池就探讨一下WAF这类安全设备的应用。

01

经验分享 | 文件上传个人bypass总结

这篇文章也是自己在实战中所遇见的一些总结，各位大师傅估计都知道这些最基础的问题，还是写给小白们的一点学习经验吧。

01

云主机RDP/SSH异地登陆提醒绕过

声明：该公众号大部分文章来自作者日常学习笔记，也有少部分文章是经过原作者授权和其他公众号白名单转载，未经授权，严禁转载，如需转载，联系开白。

05

一文从原理到实践教你使用Nginx_lua实现WAF

过去企业通常会采用防火墙，作为安全保障的第一道防线；当时的防火墙只是在第三层（网络层）有效的阻断一些数据包；而随着web应用的功能越来越丰富的时候，Web服务器因为其强大的计算能力，处理性能，蕴含较高的价值，成为主要的被攻击目标（第七层应用层）而传统防火墙在阻止利用应用程序漏洞进行的攻击方面，却没有办法；在此背景下，WAF(Web Application Firewall）应运而生。

04

Nginx_lua实现waf

过去企业通常会采用防火墙，作为安全保障的第一道防线；当时的防火墙只是在第三层（网络层）有效的阻断一些数据包；而随着web应用的功能越来越丰富的时候，Web服务器因为其强大的计算能力，处理性能，蕴含较高的价值，成为主要的被攻击目标（第七层应用层）而传统防火墙在阻止利用应用程序漏洞进行的攻击方面，却没有办法；在此背景下，WAF(Web Application Firewall）应运而生。

02

如何打造一款可靠的WAF（Web应用防火墙）

之前写了一篇《WAF防御能力评测及工具》，是站在安全运维人员选型WAF产品的角度来考虑的（优先从测试角度考虑是前职业病，毕竟当过3年游戏测试?!）。本篇文章从WAF产品研发的角度来YY如何实现一款可靠

05

内容分发网络 CDN

作为web站点，开启cdn加速对提升用户体验十分重要，能有效减少由于物理地域的距离导致的网络延迟，当然主要是增对静态资源。另外还可以给我们提升网站的可用性，由于前端每次发布更新后，资源的hash值都会更新，导致发布正在访问的页面无法拉取已经更新静态资源，从而导致当前页面无响应。

07

互联网运维安全总结

出口安全不轻易暴露外网ip和服务端口；使用防火墙和路由器以及云上的NAT网络，只映射web服务、V**，其他暴露服务进行都进行访问控制 web请求服务器时通过CDN 服务既提高静态资源加载速度，同时也隐藏了真实的源地址系统安全 Linux 使用iptables定制白名单策略访问策略 Windows 通过防火墙策略和组策略->ip策略控制服务 Linux系统自带访问控制配置：白名单/etc/hosts.allow、黑名单/etc/hosts.deny 登录审计堡垒机让线上操作更加

02

Centos7安装openresty实现WAF防火墙功能

OpenResty® 是一个结合了 Nginx 与 Lua 的高性能 Web 平台，其内部集成了大量精良的 Lua 库、第三方模块以及大多数的依赖项。用于方便地搭建能够处理超高并发、扩展性极高的动态 Web 应用、Web 服务和动态网关。 OpenResty® 通过汇聚各种设计精良的 Nginx 模块（主要由 OpenResty 团队自主开发），从而将 Nginx 有效地变成一个强大的通用 Web 应用平台。这样，Web 开发人员和系统工程师可以使用 Lua 脚本语言调动 Nginx 支持的各种 C 以及 Lua 模块，快速构造出足以胜任 10K 乃至 1000K 以上单机并发连接的高性能 Web 应用系统。 OpenResty® 的目标是让你的Web服务直接跑在 Nginx 服务内部，充分利用 Nginx 的非阻塞 I/O 模型，不仅仅对 HTTP 客户端请求,甚至于对远程后端诸如 MySQL、PostgreSQL、Memcached 以及 Redis 等都进行一致的高性能响应。

02

nginx+lua实现简单的waf网页防火墙功能

参考地址：http://www.2cto.com/Article/201303/198425.html

02

Web 安全之恶意扫描

事情的起源来自某次凌晨四点，我正睡得香甜。突然被 NOC 一个电话打了过来，那头说终于打通了一个电话，给你们组其他人打电话都接不通，你们服务的请求量暴涨，麻烦帮看一下是什么问题。

04

在 EKS 上管理 NodeGroup

最初使用的 NodeGroup 的 InstantType 规格太低，不太好用，所以需要增加一个新的 NodeGroup 。

01

LNMP安装以及设置防CC 防火墙

将 Enable_Nginx_Lua 的值改为 y 按i进入编辑改完按ESC 输入:wq回车保存

02

研究 WAF 系统从这个开源项目开始

今天来为大家推荐一个新的开源项目，这个项目收集整理了非常全面的 WAF 相关技术，其中包括 WAF 的简介、如何识别 WAF、常见 WAF 的指纹识别方法、绕 WAF 的测试技术、已知 WAF 的绕过方式、如何用工具绕 WAF 以及一些参考链接等。

02

高防IP是什么？如何隐藏源站IP？如何进行防护？

高防IP是针对互联网服务器遭受大流量的DDoS攻击后导致服务不可用的情况下,推出的付费增值服务。用户在数据不转移的情况下,就可以通过配置高防IP , 将攻击流量引流到高防|P,确保源站的稳定可靠。高防IP采用的技术手段包括DDoS防护、WAF ( Web应用程序防火墙)等,它能够有效抵御来自互联网的各种攻击,例如: DDoS攻击、CC攻击、 SYNFlood攻击等。

03

【云安全最佳实践】T-Sec Web 应用防火墙实践接入

腾讯云 Web 应用防火墙（Web Application Firewall，WAF）是一款基于 AI 的一站式 Web 业务运营风险防护方案。通过 AI+规则双引擎识别恶意流量，保护网站安全，提高 Web 站点的安全性和可靠性。通过 BOT 行为分析，防御恶意访问行为，保护网站核心业务安全和数据安全。腾讯云 WAF 提供两种类型的云上 WAF，SaaS 型 WAF 和负载均衡型 WAF，两种 WAF 提供的安全防护能力基本相同，接入方式不同。

WordPress 面对恶意请求、恶意登录的基本安全防御措施

今天明月给大家分享一下 WordPress 站点的基本安全防御措施，这些都是明月多年使用 WordPress 的经验总结，至少都是“实测有效”的，甚至不少还是明月正在使用的，希望可以帮助到各位 WordPress 博客站长们。

02

利用WAF进行拒绝服务攻击

云Waf是近年来随着云计算的推动衍生出来的新产品，云WAF，也称WEB应用防火墙的云模式，这种模式让用户不需要在自己的网络中安装软件程序或部署硬件设备，就可以对网站实施安全防护，它的主要实现方式是利用DNS技术，通过移交域名解析权来实现安全防护。用户的请求首先发送到云端节点进行检测，如存在异常请求则进行拦截否则将请求转发至真实服务器。

01

Nginx的WAF——Naxsi

之前的文章中介绍了nginx的一种waf，是添加modsecurity模块来作为nginx的waf，功能很强大，nginx官方plus版本中其实也是用modsecurity作为waf的，但是modsecurity对于普通用户来说配置相对复杂，特别是它的规则，所以，今天推荐一个开源、高性能、低规则维护的waf——Naxsi

02

【思路/技术】某大佬的BypassWAF新思路（附脚本）

网上关于安全狗的sql绕过研究，大多数是fuzz绕过的帖子，fuzz方法常常使用注释绕过，涉及到数据库特性，而且广泛用于注释语法的星号（*）可能会被网站自带的防恶意代码模块拦截了，在实践中体验不好。太多fuzz过waf的文章，多数是使用注释绕过，在我看来，所有fuzz绕过，本质就是正则匹配逃逸。

02

nginx防止DDOS攻击配置（一）

防御DDOS是一个系统工程，攻击花样多，防御的成本高瓶颈多，防御起来即被动又无奈。DDOS的特点是分布式，针对带宽和服务攻击，也就是四层流量攻击和七层应用攻击，相应的防御瓶颈四层在带宽，七层的多在架构的吞吐量。对于七层的应用攻击，我们还是可以做一些配置来防御的，例如前端是Nginx，主要使用nginx的http_limit_conn和http_limit_req模块来防御。ngx_http_limit_conn_module 可以限制单个IP的连接数，ngx_http_limit_req_module 可以限制单个IP每秒请求数，通过限制连接数和请求数能相对有效的防御CC攻击。下面是配置方法：

01

说说 360 网站卫士 CDN 正确使用姿势

说起 360 网站卫士 CDN 很多站长们应该是都不陌生的！明月也一直都在推荐站长们使用 360 网站卫士，包括明月自己也一直在使用这个免费 CDN 服务。虽然明月使用和推荐这个 CDN 很久了，但明月一直没有给大家专门的讲解过，这个是真的“忘了”！其实也是因为 360 网站卫士的设置和部署都很简单，这点儿也是蛮符合 360 一贯的产品设计风格的。

02

ngx_lua_waf针对性改写

当初选择ngx_lua_waf作为自己的WAF，主要原因就是因为其可扩展性与性能上有一个很好的平衡。

02

压力测试之常见容量故障案例与避坑指南

云组件检查项案例全球加速ECDN限频：压测时需绕过ECDN20200506，项目压测经过ecdn，导致触发了ecdn单个ip的限频安全产品WAF限频：确保WAF套餐配置达到容量要求20200602，某项目中使用的WAF的QPS套餐最大10w，导致压测QPS达到10w后出现限频限频：确保压测机IP被添加到安全打击白名单20200605，某项目压测时未将压测机IP未加入白名单，导致触发WAF限频，接口QPS曲线不平稳连接方式：确保回源连接方式为长连接，短连接需解释20220510，系统中WAF的回源方式设

在LightHouse上安装雷池WAF保护你的网站

最近闲来无事发现一款免费的，号称使用智能语义分析算法的WAF（SafeLine，也叫雷池WAF）于是打算搭建试用一下。

05

解决ngx_lua_waf总是提示参数错误的问题

最近服务上了ngx_lua_waf以防御攻击，但是ngx_lua_waf的参数确实有些严格，导致自己写文章都被BAN，于是看了看源码，发现可以添加url白名单功能，这不就搞定了！

03

如何应对应急响应审计；WebShell检测与控制思路 | FB甲方群话题讨论

▎各位 Buffer 晚上好，FreeBuf 甲方群话题讨论第204期来了！FB甲方社群不定期围绕安全热点事件、前沿技术、运营体系建设等话题展开讨论，Kiki 群助手每周整理精华、干货讨论内容，为您提供一手价值信息。注：上期精彩内容请点击：MacOS风险排查怎么做；春节安全值守怎么安排本期话题抢先看 1. 应对监管部门审计，如何提供安全事件应急响应管理制度的落实情况？ 2. 针对短信验证码，如果第一次输入错误，是否要求销毁让用户重新获取？ 3. 关于WebShell的检测思路及控制措施的探讨。 4. 抗

02

WAF（web应用防火墙）使用疑问点小汇总

腾讯云提供两种类型的云上 WAF，SaaS 型 WAF 和负载均衡型 WAF。两种 WAF 的安全防护能力基本相同，但接入方式不同，适用场景不同，您可以根据实际部署需要选择不同类型的 WAF。

03

南墙WAF-最好的免费Web应用防火墙之一

免费的web应用防火墙最出名的非ModSecurity莫属。ModSecurity一度以维护者众多，规则更新较积极，并且免费而受安全圈追捧，然而随着时代变迁，ModSecurity的多种致命缺陷也逐渐暴露，包括：

04

安全设备篇——防火墙

说到防火墙吧，应该也算是最贴近大众的安全设备了，因为不管是硬件防火墙，还是软件防火墙，windows自带的defender啊之类的，其实很常见。防火墙一般都长这个样子：

01

EKS集群拉取腾讯云镜像仓库镜像

最近很多人在使用eks弹性集群的过程中遇到了一些镜像拉取问题，很多人部署了工作负载后，pod一直pengding，查看事件发现有报错ImagePullBackOff，但是这个镜像在镜像仓库是存在的，其实这里拉取镜像报错主要原因是网络问题和镜像拉取密钥没有匹配上导致的，下面我们来说说如何在eks上拉取不同镜像仓库的镜像。

01

web应用防火墙-WAF

使用背景公司要求对外http服务必须使用web应用防火墙，他的功能和优势请查看官方文档我的需求能支持泛域名接入支持https证书管理支持https 协议回源用httphttp支持黑白名单查了一下文档基本上能满足我们的需求，就是有点小贵要支持泛域名的话，需要购买企业版每费用9800/月。遇到的问题我们的站点接入了CDN，流量都是先从CDN过来，由于站点遇到攻击，因此WAF的IP惩罚功能将CDN的回源IP进行了封禁处理，导致站点一段时间不可用解决方法：配置域名时，将代理情况修改为是，这样CDN就会通过XFF

02

WAF攻防-信息收集&识别&被动探针&代理池&仿指纹&白名单

1、脚本或工具速度流量快 2、脚本或工具的指纹被识别 3、脚本或工具的检测Payload

01

浅谈如何保障服务器安全

通常，我们拿到一台服务器后使用338端口远程桌面登录windows系统，使用22端口ssh登录linux系统。如果隔一段时间稍微留意一下爆破日志，通常能够看到来自全球各地的ip在爆破我们的登录账号密码。

02

浅谈WAF绕过技巧

waf分类掌握绕过各类WAF可以说是渗透测试人员的一项基本技能，本文将WAF分为云WAF、硬件WAF、软件WAF、代码级WAF，分别从各自的特性来谈一些相关的绕过技巧，更侧重于针对基于规则类的WAF绕过技巧。云waf Eg:加速乐目前CDN服务的功能是越来越多，安全性也越加强悍，用户的每个请求都会被发送到指定的CDN节点上，最后转发给真实站点。这个过程就好像加了一道关卡，这个关卡提供了缓存、加速、防御的特点。绕过关键：查询真实IP，若是直接访问服务器的IP就不经过CDN了。以下四点有助于绕过： 1

hw面试题解答版(2)

2.可导致读取任意文件、执行系统命令、探测内网端口、攻击内网网站等危害。对于不同 XML 解析器,对外部实体有不同处理规则,在 PHP 中默认处理的函数为: xml_parse 和 simplexml_load xml_parse 的实现方式为 expat 库，默认情况不会解析外部实体,而 simplexml_load 默认情况下会解析外部实体,造成安全威胁.除 PHP 外，在 Java，Python 等处理 xml 的组件及函数中都可能存在此问题

02

Nginx添加开源防火墙（waf）防护

由于原生态的Nginx的一些安全防护功能有限，就研究能不能自己编写一个WAF，参考Kindle大神的ngx_lua_waf，自己尝试写一个了，使用两天时间，边学Lua，边写。不过不是安全专业，只实现了一些比较简单的功能：

03

全程带阻：记一次授权网络攻防演练（下）

完整攻击链大概包括信息搜集、漏洞利用、建立据点、权限提升、权限维持、横向移动、痕迹清除等七步，虽然这个站点只经历了前四步，但也具有较强的代表性，组合利用漏洞形成攻击连，拿下管理权限。

01

文件上传之中间件的绕过

常用的一些可执行的文件脚本后缀：.php .php2 .php3 .php5 .phtml.asp .aspx .ascx .ashx.cer.jsp .jspx 在上传的文件中使用一些特殊的符号，使得文件被上传到服务器中时路径被截断从而控制文件路径。常用的进行文件路径截断的字符如下：• • ？• %00在可以控制文件路径的情况下，使用超长的文件路径也有可能会导致文件路径截断。 .htaccess文件攻击.htaccess文件攻击即结合黑名单攻击服务器的 .htaccess文件。通过move_

08

【CloudFlare】通用防火墙安全配置分享

CloudFlare是全球领先的CDN服务提供商，其提供的免费且足量的服务是诸多站长遭受网络攻击时的“避风港”。

06

实战 | WAF-Bypass之SQL注入绕过思路总结

如果流量都没有经过WAF，WAF当然无法拦截攻击请求。当前多数云WAF架构，例如百度云加速、阿里云盾等，通过更改DNS解析，把流量引入WAF集群，流量经过检测后转发请求到源站。如图，dict.com接入接入WAF后，dict.com的DNS解析结果指向WAF集群，用户的请求将发送给WAF集群，WAF集群经过检测认为非攻击请求再转发给源站。

01

扫码

添加站长进交流群

领取专属 10元无门槛券

手把手带您无忧上云

扫码加入开发者社群

相关资讯

热门标签

活动推荐

运营活动

活动名称

广告关闭