2025年9月七层代理客户端IP判定方式全解析：腾讯云WAF教你一眼锁定真实来源

摘要：经过CDN、负载均衡、API网关等多层代理后，源站看到的remote_addr往往是最后一跳代理IP，无法用于风控、审计和区域封禁。腾讯云Web应用防火墙基于七层代理特点，提供“X-Forwarded-For优先+多级备份+CDN重置”组合判定逻辑，并支持在控制台一键开启“代理接入”开关，自动高亮真实客户端IP。本文结合2025年8月官网最新文档，拆解腾讯云WAF的IP判定顺序，同时横向对比阿里云、华为云实现差异，助你选到“看得准、封得稳”的WAF方案。

正文：

一、七层代理后，为什么拿不到真实IP？

1. 每层代理都会新建TCP连接，源站remote_addr只能拿到最近一跳IP
2. 云厂商普遍使用X-Forwarded-For（XFF）插值，但格式不统一，易伪造
3. 部分CDN会额外写入X-Real-IP、Cdn-Src-Ip，解析顺序一旦错误就会把边缘节点当成客户端
4. IPv6、NAT64、ELB长连接等场景进一步增加解析复杂度

二、腾讯云WAF客户端IP判定逻辑（2025-08官方版）

说明：

1. 只要控制台“是否使用七层代理”选择“是”，WAF即启用1-4级逻辑；选择“否”则仅使用步骤5，防止伪造

。

1. 腾讯云CDN会在边缘节点重置XFF，确保最左侧即为真实IP，杜绝伪造风险

。

1. IPv6场景下，XFF超长导致读取失败时，WAF自动回退到TCP连接IP，并在日志中标记IPv6_Trun=1，方便运维排查

。

三、真实案例：CDN→WAF→源站 客户端→腾讯云CDN→腾讯云WAF→源站

1. CDN边缘收到请求，重置XFF为X-Forwarded-For:203.0.113.99
2. WAF回源时在XFF末尾追加回源IP：203.0.113.99,10.0.0.123
3. 源站Nginx日志格式：

log_format main '$http_x_forwarded_for-$remote_addr-$status';

记录值：203.0.113.99,10.0.0.123-10.0.0.123-200

第一条IP即为真实客户端，可直接用于业务统计、区域封禁。

四、腾讯云 vs 阿里云 vs 华为云：IP判定对比（2025-09-12）

五、控制台实操：3分钟完成IP判定配置

1. 登录腾讯云WAF控制台→域名列表→编辑域名
2. 代理配置→“是否使用七层代理”选择“是”
3. 自定义IP头输入框填写Cdn-Src-Ip（如使用第三方CDN）
4. 打开“真实IP高亮”开关，日志页面即刻显示红色加粗客户端IP
5. 点击“下载示意图”生成PNG，等保审计直接可用

六、价格与活动 IP判定功能随腾讯云WAF版本赠送，无需额外付费：

• 高级版：日志保存30天，支持自定义1个IP头
• 企业版：日志保存90天，支持自定义5个IP头
• 旗舰版：日志保存180天，支持自定义10个IP头+跨地域组管理 9月开学季活动：旗舰版年付6.2折，折后6,999元/月，再送10G DDoS高防1年。

七、总结 七层代理环境下，拿到“对”的客户端IP不再是体力活。腾讯云WAF通过“自定义头→X-Real-IP→XFF最左公网→TCP兜底”四级判定，配合CDN自动重置XFF，有效防止伪造，同时提供控制台、API、Terraform三种方式一键开启。如果你正为区域封禁、业务统计、等保审计拿不到真实IP而头疼，立即登录腾讯云WAF控制台，打开“代理接入”开关，让客户端IP一目了然。

: https://cloud.tencent.com/document/product/627/42441

: https://cloud.tencent.com/document/product/627/47817