CIS 设置的最佳实践
由于 IBM Cloud® Internet Services 位于网络边缘,因此需要采取几个步骤来保证与 CIS 服务的顺利集成。 请考虑以下建议最佳实践,以将 CIS 与源服务器集成。
您可以在更改 DNS 并激活代理服务之前或之后执行这些步骤。 这些建议使 CIS 能够正确连接到源服务器。 它们将帮助您防止 API 或 HTTPS 流量出现任何问题,并帮助日志捕获到客户的正确 IP 地址,而不是保护性 CIS IP 地址。
以下是您需要设置的内容:
- 复原客户的原始 IP
- 合并 CIS IP 地址
- 确保安全设置不会干扰 API 流量
- 尽可能严格地配置安全设置
最佳实践 1:了解如何恢复客户的原始 IP
作为反向代理,CIS 在这些标头中提供发端 IP:
CF-Connecting-IPX-Forwarded-ForTrue-Client-IP(可选)
您可以使用适用于 Apache、Windows IIS 和 NGINX 等基础架构的各种工具恢复用户 IP 地址。
最佳实践 2:合并 CIS IP 地址以顺利集成
采取以下两个步骤:
- 除去对 CIS IP 地址的任何速率限制
- 设置 ACL 以仅允许 CIS IP 地址和其他可信参与方
您可以在此位置找到 IBM CIS 的 IP 范围更新列表。
最佳实践 3:复审安全设置以确保其不会干扰 API 流量
IBM CIS 通常通过除去连接开销来加速 API 流量。 但是,缺省安全状态可能会干扰很多 API 调用。 建议您采取一些措施,防止代理激活后 API 流量受到干扰。
-
使用页面规则功能,有选择性地关闭安全功能。
- 使用 API 的 URL 模式(例如,
api.example.com)创建页面规则。 - 添加以下规则行为:
- 将安全级别选择为彻底关闭
- 将 TLS 选择为关闭
- 将浏览器完整性检查选择为关闭
- 选择供应资源
- 使用 API 的 URL 模式(例如,
-
或者,可以从“安全性”页面全局关闭 Web 应用程序防火墙。
浏览器完整性检查有什么作用?
浏览器完整性检查会查找通常被垃圾邮件制造者所滥用的 HTTP 头。 此检查会拒绝那些头访问页面时所带来的流量。 它还会阻止没有用户代理或添加了非标准用户代理的访问者(滥用机器人、爬虫或 API 通常会使用这种策略)。
最佳实践 4:尽可能严格地配置安全设置
CIS 提供一些用于加密流量的选项。 作为逆向代理,TLS 连接将在 Cloudflare 终止,并向源服务器打开新的 TLS 连接。 对于使用 CIS 的终止,您可以从账户上传自定义证书,或使用 CIS 为您配置的通配符证书,或两者兼用。
上传定制证书
创建企业域时,可以上传公钥和私钥。 如果上传自己的证书,那么马上就会与加密流量兼容,还会保持对证书(例如,扩展验证 (EV) 证书)的控制。 请记住,如果您上传的是自定义证书,则您有责任管理您的证书。 例如,IBM CIS 不会跟踪证书到期日期。
或者,使用 CIS 提供的证书
IBM CIS 与多家证书颁发机构 (CA) 合作,默认情况下为客户提供域通配符证书。 设置这些证书可能需要手动验证,您的支持团队可以帮助您执行这些额外步骤。
将 TLS 设置更改为端到端 CA 签名
我们的大多数企业客户都使用端到端 CA 签名安全设置。 端到端 CA 签名设置需要在 Web 服务器上安装有效的 CA 签名证书。 证书的到期日期必须在未来,而且必须有匹配的主机名或主题替代名称 (SAN)。