当您的业务接入 Web 应用防火墙后，所有请求都会通过防火墙的回源 IP 转发到源站。由于请求都集中在这些回源 IP 上，可能会导致源站的安全策略误判，从而触发不必要的拦截或限速。如果您的源站已配置了防火墙或安全软件，建议您先获取 Web 应用防火墙的回源 IP 地址列表，然后将这些 IP 添加到源站的以下白名单中，以确保来自 Web 应用防火墙的正常请求不会被源站安全策略误拦截。

背景信息 #

• 接入前
  在未接入 Web 应用防火墙时，您的业务请求通常来自分散的客户端 IP 地址。这种分散性使得源站的防火墙或安全软件能够准确识别正常流量，不会触发误判导致拦截或限速。
  
• 接入后
  当业务接入 Web 应用防火墙后，所有请求都会集中通过防火墙的固定回源 IP 转发至源站。这种流量汇聚特性可能会导致每个回源 IP 承载的请求量显著增加，源站的防火墙或安全软件可能将高频访问的回源 IP 误判为潜在威胁，从而触发源站安全策略，造成正常请求被拦截或限速。为避免这种情况，建议您将 Web 应用防火墙的回源 IP 加添加到源站安全设施的白名单中，确保正常业务流量不受影响。
  

操作步骤 #

接入域名时，Web 应用防火墙会在配置参数提交完成后显示对应的回源 IP 地址，此处介绍如何在网站设置页面查看回源 IP 地址。

1. 登录火山引擎 Web 应用防火墙控制台。
2. 在顶栏选择实例所属地域。
3. 在左侧导航选择网站设置。
4. 筛选 CNAME 方式接入的域名。
   
5. 在列表中单击对应域名，查看域名详情。
6. 在网站详情页面，获取回源 IP。
   
7. 前往源站服务器上的安全软件，将上图中所有回源 IP 地址添加至白名单中。

后续操作 #

放行回源 IP 后，您需要确认转发规则是否生效，以确保业务流量可经由 Web 应用防火墙正常转发。详情可参见验证转发配置。