問(wèn)題:通過(guò)IIS發(fā)布的網(wǎng)站放到F5設(shè)備后邊�,通過(guò)透明監(jiān)聽(tīng)模式WAF設(shè)備過(guò)濾后,公網(wǎng)訪(fǎng)問(wèn)者的真實(shí)IP被WAF設(shè)備IP替代����,在網(wǎng)站日志看不到原來(lái)的真實(shí)IP了。
處理方案1:利用第三方IIS插件調(diào)用X-Forwarded-For獲得來(lái)訪(fǎng)者的真實(shí)IP�����,解決IIS放在f5后記錄不到用戶(hù)ip的問(wèn)題��。
處理方案2:使用微軟官方的高級(jí)日志模塊功能調(diào)用X-Forwarded-For記錄真實(shí)IP��;
請(qǐng)注意���,以上2種方案都需要WAF管理員在F5設(shè)備上進(jìn)行X-Forwarded-For數(shù)據(jù)轉(zhuǎn)發(fā)定義后使用�����!
方案1:
并解壓 F5XForwardedFor文件����。
下載地址:https://www.jb51.net/softs/770998.html
根據(jù)自己的服務(wù)器操作系統(tǒng)版本將x86\Release或者 x64\Release目錄下的 F5XFFHttpModule.dll 和 F5XFFHttpModule.ini拷貝到某個(gè)目錄,比如 C:\F5XForwardedFor\�����。確保IIS進(jìn)程對(duì)該目錄有讀取權(quán)限���。
打開(kāi)IIS管理器�,雙擊模塊功能���。
單擊配置本機(jī)模塊�����,然后在彈出的對(duì)話(huà)框中�����,單擊注冊(cè)�。
添加下載的.dll文件(最好x64和x86都添加好)
為添加的兩個(gè)文件授權(quán)允許運(yùn)行ISAPI和CGI擴(kuò)展。
返回主頁(yè)后��,重啟IIS:
去%SystemDrive%\inetpub\logs\LogFiles查詢(xún)IIS日志����,可以看到日志里邊已經(jīng)有相關(guān)原始IP信息了
方案2:
下載安裝IIS高級(jí)日志功能https://www.microsoft.com/en-gb/download/details.aspx?id=7211
重新進(jìn)IIS主頁(yè),雙擊打開(kāi)高級(jí)日志功能:
激活高級(jí)日志功能:
修改本機(jī)日志字段配置�����,增加字段:
Field ID輸入”ClientSourceIP”�����;
Category選擇”Default”�;
Source type選擇”Request Header”;
Source name輸入”X-Forwarded-For”;
添加日志定義:
在”Base file name”字段中輸入“Client Source IP”����;然后點(diǎn)擊”select Fields”按鈕,并選擇”ClientSourceIP”���;最后點(diǎn)擊”應(yīng)用”��,回到主頁(yè)��;
返回主頁(yè)后�,重啟IIS:
查詢(xún)高級(jí)日志,可以拿到訪(fǎng)客原始IP信息了:
該文章在 2023/8/30 15:05:17 編輯過(guò)
400 186 1886
