云服务器内容精选
-
修订记录 发布日期 修改说明 2024-05-15 第七十二次正式发布。 文档架构调整。 2024-05-09 第七十一次正式发布。 增加: CDN回源OBS桶场景下连接WAF提升OBS安全防护 2024-03-30 第七十次正式发布。 修改: 使用DDoS高防和WAF提升网站全面防护能力 通过Header字段转发关闭响应报文压缩 使用Postman工具模拟业务验证全局白名单规则 源站安全配置 2024-02-01 第六十九次正式发布。 修改: 使用DDoS高防和WAF提升网站全面防护能力 通过IP限速限制网站访问频率 通过Cookie字段限制网站访问频率 使用WAF阻止爬虫攻击 使用CDN和WAF提升网站防护能力和访问速度 使用独享WAF和7层ELB以防护任意非标端口 通过Header字段转发关闭响应报文压缩 2024-01-05 第六十八次正式发布。 修改: 通过LTS查询分析WAF访问日志 通过LTS分析Spring core RCE漏洞的拦截情况 通过LTS配置WAF规则的拦截告警 2023-11-30 第六十七次正式发布。 架构调整 新增: 网站防护配置建议 CC攻击常见场景防护配置 修改: 使用DDoS高防和WAF提升网站全面防护能力 通过IP限速限制网站访问频率 通过Cookie字段限制网站访问频率 使用WAF阻止爬虫攻击 使用CDN和WAF提升网站防护能力和访问速度 使用独享WAF和7层ELB以防护任意非标端口 2023-11-15 第六十六次正式发布。 修改通过WAF提升客户端访问域名的通道安全。 2023-11-06 第六十五次正式发布。 修改使用DDoS高防和WAF提升网站全面防护能力。 2023-08-11 第六十四次正式发布。 增加通过Header字段转发关闭响应报文压缩。 2023-06-30 第六十三次正式发布。 修改获取客户端真实IP。 2023-06-07 第六十二次正式发布。 修改“独享引擎实例升级配置”。 2023-06-02 第六十一次正式发布。 修改通过ECS/ELB访问控制策略保护源站安全。 2023-03-03 第六十次正式发布。 修改: 使用CDN和WAF提升网站防护能力和访问速度 使用DDoS高防和WAF提升网站全面防护能力 2023-01-31 第五十九次正式发布。 修改“独享引擎实例升级配置”。 2022-12-26 第五十八次正式发布。 新增: Solution as Code一键式部署类最佳实践 2022-10-25 第五十七次正式发布。 修改如下章节: 独享引擎实例升级配置 2022-09-30 第五十六次正式发布。 增加使用独享WAF和7层ELB以防护任意非标端口。 2022-09-06 第五十五次正式发布。 修改如下章节: 使用CDN和WAF提升网站防护能力和访问速度 使用DDoS高防和WAF提升网站全面防护能力 2022-08-11 第五十四次正式发布。 增加以下最佳实践: 通过业务Cookie和HWWAFSESID联合配置限制恶意抢购、下载 2022-07-26 第五十三次正式发布。 修改通过WAF和HSS提升网页防篡改能力章节。 2022-07-06 第五十二次正式发布。 全局计数功能上线,修改如下章节: 使用WAF防护CC攻击 使用CDN和WAF提升网站防护能力和访问速度 使用DDoS高防和WAF提升网站全面防护能力 2022-07-04 第五十一次正式发布。 全局白名单功能上线,修改如下章节: 使用Postman工具模拟业务验证全局白名单规则 2022-06-06 第五十次正式发布。 修改如下章节: 获取客户端真实IP 使用DDoS高防和WAF提升网站全面防护能力 2022-05-23 第四十九次正式发布。 增加通过WAF和HSS提升网页防篡改能力。 修改获取客户端真实IP章节。 2022-05-17 第四十八次正式发布。 修改使用DDoS高防和WAF提升网站全面防护能力章节。 2022-05-05 第四十七次正式发布。 修改获取客户端真实IP,增加了约束条件。 2022-04-19 第四十六次正式发布。 增加如下两个最佳实践: 通过LTS分析Spring core RCE漏洞的拦截情况 通过LTS配置WAF规则的拦截告警 2022-04-01 第四十五次正式发布。 增加Java Spring框架远程代码执行高危漏洞最佳实践。 2022-02-11 第四十三次正式发布。 获取客户端真实IP,增加了Apache服务器为2.4及以上版本如何获取源站IP的方法。 2021-12-22 第四十二次正式发布。 新增通过LTS查询分析WAF访问日志。 2021-12-02 第四十一次正式发布。 新增使用Postman工具模拟业务验证全局白名单规则。 通过WAF提升客户端访问域名的通道安全,优化内容描述。 2021-10-21 第四十次正式发布。 使用CDN和WAF提升网站防护能力和访问速度,优化内容描述。 2021-10-12 第三十九次正式发布。 通过WAF提升客户端访问域名的通道安全,优化内容描述。 2021-09-22 第三十八次正式发布。 新增“独享引擎实例升级配置”。 2021-08-19 第三十七次正式发布。 使用CDN和WAF提升网站防护能力和访问速度,更新界面截图。 2021-07-29 第三十六次正式发布。 使用CDN和WAF提升网站防护能力和访问速度、使用DDoS高防和WAF提升网站全面防护能力,补充接入成功生效条件。 2021-07-20 第三十五次正式发布。 修改管理控制台入口。 2021-06-25 第三十四次正式发布。 单独使用云模式WAF接入网站的配置指导,优化内容描述。 2021-06-08 第三十三次正式发布。 使用CDN和WAF提升网站防护能力和访问速度,优化前提条件描述。 使用DDoS高防和WAF提升网站全面防护能力,优化前提条件描述。 2021-05-20 第三十二次正式发布。 使用DDoS高防和WAF提升网站全面防护能力,补充独享模式的配置策略。 2021-05-14 第三十一次正式发布。 使用CDN和WAF提升网站防护能力和访问速度,补充独享模式的配置策略。 2021-04-08 第三十次正式发布。 单独使用云模式WAF接入网站的配置指导,优化内容描述。 2021-03-19 第二十九次正式发布。 通过WAF提升客户端访问域名的通道安全,优化内容描述。 2020-11-27 第二十八次正式发布。 通过ECS/ELB访问控制策略保护源站安全,优化内容描述。 获取客户端真实IP,优化内容描述。 2020-11-20 第二十七次正式发布。 通过WAF提升客户端访问域名的通道安全,优化内容描述。 使用WAF阻止爬虫攻击,优化内容描述。 2020-08-17 第二十六次正式发布。 获取客户端真实IP,优化内容描述。 2020-05-14 第二十五次正式发布。 通过WAF提升客户端访问域名的通道安全,优化内容描述。 2020-04-16 第二十四次正式发布。 优化内容描述。 2020-04-02 第二十三次正式发布。 更新界面截图。 2020-02-14 第二十一次正式发布。 新增Apache Dubbo反序列化漏洞。 2020-01-03 第二十次正式发布。 获取客户端真实IP,修改标题。 2019-12-19 第十九次正式发布。 使用CDN和WAF提升网站防护能力和访问速度,优化内容描述。 2019-12-16 第十八次正式发布。 操作入口连环图更新。 2019-12-05 第十七次正式发布。 获取客户端真实IP,优化内容描述。 2019-10-21 第十六次正式发布。 通过WAF提升客户端访问域名的通道安全,优化内容描述。 CC攻击防御最佳实践,优化内容描述。 使用DDoS高防和WAF提升网站全面防护能力,优化内容描述。 使用CDN和WAF提升网站防护能力和访问速度,优化内容描述。 2019-09-06 第十五次正式发布。 新增开源组件Fastjson拒绝服务漏洞。 2019-09-04 第十四次正式发布。 单独使用云模式WAF接入网站的配置指导,优化内容描述。 2019-08-30 第十三次正式发布。 使用CDN和WAF提升网站防护能力和访问速度,优化内容描述。 2019-08-27 第十二次正式发布。 使用WAF阻止爬虫攻击,优化内容描述。 2019-08-01 第十一次正式发布。 新增使用CDN和WAF提升网站防护能力和访问速度。 2019-07-12 第十次正式发布。 新增开源组件Fastjson远程代码执行漏洞。 2019-06-21 第九次正式发布。 新增获取客户端真实IP。 2019-06-04 第八次正式发布。 新增WAF接入配置最佳实践。 2019-05-16 第七次正式发布。 新增通过ECS/ELB访问控制策略保护源站安全。 2019-05-05 第六次正式发布。 通过WAF提升客户端访问域名的通道安全,优化内容描述。 2019-04-28 第五次正式发布。 新增通过WAF提升客户端访问域名的通道安全。 2019-04-23 第四次正式发布。 新增Oracle WebLogic wls9-async反序列化远程命令执行漏洞(CNVD-C-2019-48814)。 CC攻击防御最佳实践,优化内容描述。 使用WAF阻止爬虫攻击,优化内容描述。 2018-11-08 第三次正式发布。 短描述和关键字的设置。 2018-10-15 第二次正式发布。 根据界面变化更新了截图和描述。 2018-05-11 第一次正式发布。
-
约束条件 添加域名时“是否已使用代理”配置错误将导致无法成功获取Web访问者请求的真实IP地址。 为了保证WAF的安全策略能够针对真实源IP生效,成功获取Web访问者请求的真实IP地址,如果WAF前使用了CDN、云加速等七层代理的产品,“是否已使用代理”务必选择“七层代理”,其他情况,“是否已使用代理”选择“无代理”。 常规情况下,X-Forwarded-For字段中,第一个IP就是客户端真实IP,当IPV6地址长度超过X-Forwarded-For字段长度限制时,将读取不到IP地址;另外,nat64下,ELB是IPv4的监听器,也读不到ipv6地址。
-
通过WAF直接获取客户端真实IP 网站接入WAF后,WAF作为一个反向代理部署于客户端和服务器之间,实现网站安全防护。WAF获取真实IP原则请参见WAF获取真实IP是从报文中哪个字段获取到的?。 下面为您介绍如何通过X-Forwarded-For和X-Real-IP变量获取客户端真实IP地址的方法: WAF使用X-Forwarded-For的方式获取客户端的真实IP地址。 WAF将“真实的客户端IP”放在HTTP头部的“X-Forwarded-For”字段,格式如下: 1 X-Forwarded-For: 用户真实IP, 代理服务器1-IP, 代理服务器2-IP,... 当使用此方式获取客户端真实IP时,获取的第一个地址就是客户端真实IP。 各种语言通过调用SDK接口获取X-Forwarded-For字段的方式: ASP: Request.ServerVariables("HTTP_X_FORWARDED_FOR") ASP.NET(C#): Request.ServerVariables["HTTP_X_FORWARDED_FOR"] PHP: $_SERVER["HTTP_X_FORWARDED_FOR"] JSP: request.getHeader("HTTP_X_FORWARDED_FOR") WAF服务还支持使用X-Real-IP变量,获取客户的来源IP(使用过程中考虑了后面经过的多层反向代理对该变量的修改)。 各种语言通过调用SDK接口获取X-Real-IP字段的方式: ASP: Request.ServerVariables("HTTP_X_REAL_IP") ASP.NET(C#): Request.ServerVariables["HTTP_X_REAL_IP"] PHP: $_SERVER["HTTP_X_REAL_IP"] JSP: request.getHeader("HTTP_X_REAL_IP")
-
IIS 6如何在访问日志中获取客户端真实IP 如果您的源站部署了IIS 6服务器,您可以通过安装“F5XForwardedFor.dll”插件,从IIS 6服务器记录的访问日志中获取客户端真实的IP地址。 下载F5XForwardedFor模块。 根据您服务器的操作系统版本将“x86\Release”或者“x64\Release”目录中的“F5XForwardedFor.dll”文件拷贝至指定目录(例如,“C:\ISAPIFilters”),同时确保IIS进程对该目录有读取权限。 打开IIS管理器,找到当前开启的网站,在该网站上右键选择“属性”,打开“属性”页面。 在“属性”页面,切换至“ISAPI筛选器”,单击“添加”,在弹出的窗口中,配置如下信息: “筛选器名称”:“F5XForwardedFor”; “可执行文件”:“F5XForwardedFor.dll”的完整路径,例如:“C:\ISAPIFilters\F5XForwardedFor.dll”。 单击“确定”,重启IIS 6服务器。 查看IIS 6服务器记录的访问日志(默认的日志路径为:“C:\WINDOWS\system32\LogFiles\ ”,IIS日志的文件名称以“.log”为后缀),可获取X-Forwarded-For对应的客户端真实IP。
-
IIS 7如何在访问日志中获取客户端真实IP 如果您的源站部署了IIS 7服务器,您可以通过安装“F5XForwardedFor”模块,从IIS 7服务器记录的访问日志中获取客户端真实的IP地址。 下载F5XForwardedFor模块。 根据服务器的操作系统版本将“x86\Release”或者“x64\Release”目录中的“F5XFFHttpModule.dll”和“F5XFFHttpModule.ini”文件拷贝到指定目录(例如,“C:\x_forwarded_for\x86”或“C:\x_forwarded_for\x64”),并确保IIS进程对该目录有读取权限。 在IIS服务器的选择项中,双击“模块”,进入“模块”界面。 单击“配置本机模块”,在弹出的对话框中,单击“注册”。 图2 注册模块 在弹出的对话框中,按操作系统注册已下载的DLL文件后,单击“确定”。 x86操作系统:注册模块“x_forwarded_for_x86” 名称:x_forwarded_for_x86 路径:“C:\x_forwarded_for\x86\F5XFFHttpModule.dll” 图3 x86操作系统注册模块 x64操作系统:注册模块“x_forwarded_for_x64” 名称:x_forwarded_for_x64 路径:“C:\x_forwarded_for\x64\F5XFFHttpModule.dll” 图4 x64操作系统注册模块 注册完成后,勾选新注册的模块(“x_forwarded_for_x86”或“x_forwarded_for_x64”)并单击“确定”。 在“ISAPI和CGI限制”中,按操作系统添加已注册的DLL文件,并将其“限制”改为“允许”。 x86操作系统: ISAPI或CGI路径:“C:\x_forwarded_for\x86\F5XFFHttpModule.dll” 描述:x86 x64操作系统: ISAPI或CGI路径:“C:\x_forwarded_for\x64\F5XFFHttpModule.dll” 描述:x64 重启IIS 7服务器,等待配置生效。 查看IIS 7服务器记录的访问日志(默认的日志路径为:“C:\WINDOWS\system32\LogFiles\ ”,IIS日志的文件名称以“.log”为后缀),可获取X-Forwarded-For对应的客户端真实IP。
-
云容器引擎如何获取客户端真实IP 如果您的服务部署在云容器引擎(Cloud Container Engine,简称CCE)上,云容器引擎会将真实的客户端IP记录在X-Original-Forwarded-For字段中,并将WAF回源地址记录在X-Forwarded-For字段中。您需要修改云容器引擎的配置文件,使Ingress将真实的IP添加到X-Forwarded-For字段中,以便您正常获取真实的客户端IP地址。 您可以参考以下步骤,对云容器引擎配置文件进行修改。 执行以下命令修改配置文件“kube-system/nginx-configuration”。 kubectl -n kube-system edit cm nginx-configuration 在配置文件中添加以下内容: compute-full-forwarded-for: "true" forwarded-for-header: "X-Forwarded-For" use-forwarded-headers: "true" 保存配置文件。 保存后配置即刻生效,Ingress会将真实的客户端IP添加到X-Forwarded-For字段中。 将业务程序获取客户端真实IP的字段修改为X-Original-Forwarded-For。
-
支持配置的加密套件说明 WAF默认配置的加密套件为“加密套件1”,可以满足浏览器兼容性和安全性,各加密套件相关说明如表2所示。 表2 加密套件说明 加密套件名称 支持的加密算法 不支持的加密算法 说明 默认加密套件 说明: WAF默认给网站配置的是“加密套件1”,但是如果请求信息不携带sni信息,WAF就会选择缺省的“默认加密套件”。 ECDHE-RSA-AES256-SHA384 AES256-SHA256 RC4 HIGH MD5 aNULL eNULL NULL DH EDH AESGCM 兼容性:较好,支持的客户端较为广泛 安全性:一般 加密套件1 ECDHE-ECDSA-AES256-GCM-SHA384 HIGH MEDIUM LOW aNULL eNULL DES MD5 PSK RC4 kRSA 3DES DSS EXP CAMELLIA 推荐配置。 兼容性:较好,支持的客户端较为广泛 安全性:较高 加密套件2 EECDH+AESGCM EDH+AESGCM - 兼容性:一般,严格符合PCI DSS的FS要求,较低版本浏览器可能无法访问。 安全性:高 加密套件3 ECDHE-RSA-AES128-GCM-SHA256 ECDHE-RSA-AES256-GCM-SHA384 ECDHE-RSA-AES256-SHA384 RC4 HIGH MD5 aNULL eNULL NULL DH EDH 兼容性:一般,较低版本浏览器可能无法访问。 安全性:高,支持ECDHE、DHE-GCM、RSA-AES-GCM多种算法。 加密套件4 ECDHE-RSA-AES256-GCM-SHA384 ECDHE-RSA-AES128-GCM-SHA256 ECDHE-RSA-AES256-SHA384 AES256-SHA256 RC4 HIGH MD5 aNULL eNULL NULL EDH 兼容性:较好,支持的客户端较为广泛 安全性:一般,新增支持GCM算法。 加密套件5 AES128-SHA:AES256-SHA AES128-SHA256:AES256-SHA256 HIGH MEDIUM LOW aNULL eNULL EXPORT DES MD5 PSK RC4 DHE 仅支持RSA-AES-CBC算法。 加密套件6 ECDHE-ECDSA-AES256-GCM-SHA384 ECDHE-RSA-AES256-GCM-SHA384 ECDHE-ECDSA-AES128-GCM-SHA256 ECDHE-RSA-AES128-GCM-SHA256 ECDHE-ECDSA-AES256-SHA384 ECDHE-RSA-AES256-SHA384 ECDHE-ECDSA-AES128-SHA256 ECDHE-RSA-AES128-SHA256 - 兼容性:一般 安全性:较好 WAF提供的加密套件对于高版本的浏览器及客户端都可以兼容,不能兼容部分老版本的浏览器。TLS版本不同,加密套件的浏览器或客户端兼容情况也不同。以TLS v1.0协议为例,加密套件的浏览器及客户端兼容性说明如表3所示。 建议您以实际客户端环境测试的兼容情况为准,避免影响现网业务。 表3 加密套件不兼容的浏览器/客户端参考说明(TLS v1.0) 浏览器/客户端 默认加密套件 加密套件1 加密套件2 加密套件3 加密套件4 加密套件5 加密套件6 Google Chrome 63 /macOS High Sierra 10.13.2 × √ √ √ × √ √ Google Chrome 49/ Windows XP SP3 × × × × × √ √ Internet Explorer 6/Windows XP × × × × × × × Internet Explorer 8/Windows XP × × × × × × × Safari 6/iOS 6.0.1 √ √ × √ √ √ √ Safari 7/iOS 7.1 √ √ × √ √ √ √ Safari 7/OS X 10.9 √ √ × √ √ √ √ Safari 8/iOS 8.4 √ √ × √ √ √ √ Safari 8/OS X 10.10 √ √ × √ √ √ √ Internet Explorer 7/Windows Vista √ √ × √ √ × √ Internet Explorer 8~10/Windows 7 √ √ × √ √ × √ Internet Explorer 10/Windows Phone 8.0 √ √ × √ √ × √ Java 7u25 √ √ × √ √ × √ OpenSSL 0.9.8y × × × × × × × Safari 5.1.9/OS X 10.6.8 √ √ × √ √ × √ Safari 6.0.4/OS X 10.8.4 √ √ × √ √ × √
-
支持配置的最低TLS版本说明 WAF默认配置的最低TLS版本为“TLS v1.0”,为了确保网站安全,建议您根据业务实际需求进行配置,支持配置的最低TLS版本如表1所示。 表1 支持配置的最低TLS版本说明 场景 最低TLS版本(推荐) 防护效果 网站安全性能要求很高(例如,银行金融、证券、电子商务等有重要商业信息和重要数据的行业) TLS v1.2 WAF将自动拦截TLS v1.0和TLS v1.1协议的访问请求。 网站安全性能要求一般(例如,中小企业门户网站) TLS v1.1 WAF将自动拦截TLS1.0协议的访问请求。 客户端APP无安全性要求,可以正常访问网站 TLS v1.0 所有的TLS协议都可以访问网站。
-
选择业务QPS时是按照入流量计算还是出流量计算? WAF的业务QPS是指所有该WAF防护的域名、站点中正常业务流量的大小,单位为QPS。 购买WAF时,您需要提前考虑准备通过WAF配置防护的所有站点的日常入方向和出方向总流量的峰值,确保您选购的WAF所对应的业务带宽限制大于入、出方向总流量峰值中较大的值。 流量指的是业务去掉攻击流量后的正常流量。例如,您需要将所有站点对外访问的流量都接入WAF进行防护,在正常访问(未遭受攻击)时,WAF将这些正常访问流量回源到源站ECS实例;而当站点遭受攻击(CC攻击或DDoS攻击)时,WAF将异常流量拦截、过滤后,将正常流量回源到源站ECS实例。因此,您在云服务器(ECS)管理控制台中查看您源站ECS实例的入方向及出方向的流量就是正常的业务流量。如果存在多个源站ECS实例,则需要统计所有源站ECS实例流量的总和。例如:假设您需要通过WAF配置防护六个站点,每个站点的出方向的正常业务流量峰值都不超过2,000QPS,流量总和不超过12,000QPS。这种情况下,您只需选择购买Web应用防火墙铂金版套餐即可。 一般情况下,出方向的流量会比较大。 有关QPS的详细介绍,请参见QPS扩展包说明。 父主题: 业务请求类
-
为什么需要放行回源IP段? WAF实例的IP数量有限,且源站服务器收到的所有请求都来自这些IP。在源站服务器上的安全软件很容易认为这些IP是恶意IP,有可能触发屏蔽WAF回源IP的操作。一旦WAF的回源IP被屏蔽,WAF的请求将无法得到源站的正常响应,因此,在接入WAF防护后,您需要在源站服务器的安全软件上设置放行所有WAF回源IP,不然可能会出现网站打不开或打开极其缓慢等情况。 网站接入WAF后,建议您卸载源站服务器上的其他安全软件,或者配置只允许来自WAF的访问请求访问您的源站,这样既可保证访问不受影响,又能防止源站IP暴露后被黑客直接攻击。
-
什么是回源IP? 回源IP是WAF用来代理客户端请求服务器时用的源IP,在服务器看来,接入WAF后所有源IP都会变成WAF的回源IP,而真实的客户端地址会被加在HTTP头部的XFF字段中。 WAF的回源IP会因为扩容/新建集群而增加,对于一个客户的存量域名,一般回源IP会固定在2~4个集群的几个C类IP地址(192.0.0.0~223.255.255.255)上。 一般情况下,在没有灾备切换或其他调度切换集群的场景下,回源IP不会变。且WAF后台做集群切换时,会探测源站安全组配置,确保不会因为安全组配置导致业务整体故障。 图1 回源IP
-
HTTP 2.0业务接入WAF防护是否会对源站有影响? HTTP 2.0业务接入WAF防护对源站有影响。HTTP 2.0业务接入WAF防护表示WAF可以处理客户端的HTTP 2.0请求,而WAF目前仅支持以HTTP 1.0/1.1协议转发回源请求,即WAF与源站间暂不支持HTTP 2.0。因此,如果您将HTTP 2.0业务接入WAF防护,则源站的HTTP 2.0特性将会受到影响,例如,源站HTTP 2.0的多路复用特性可能失效,造成源站业务请求量上升。
-
接入WAF对现有业务和服务器运行有影响吗? 接入WAF不需要中断现有业务,不会影响源站服务器的运行状态,即不需要对源站服务站进行任何操作(例如关机或重启)。 以云模式的CNAME接入方式接入WAF时,您需要修改DNS解析使流量经过WAF进行转发。修改DNS解析可能会影响网站访问业务,建议您在业务量少时进行修改。有关网站接入WAF的详细操作,请参见域名接入配置。 WAF支持云模式-CNAME接入、云模式-ELB接入和独享模式三种部署模式,各部署模式支持防护的对象说明如下: 云模式-CNAME接入:域名,华为云、非华为云或云下的Web业务 云模式-ELB接入:域名或IP,华为云的Web业务 独享模式:域名或IP,华为云的Web业务 有关三个部署模式应用场景和差异的详细说明,请参见服务版本差异。
-
Web应用防火墙是否支持SSL双向认证? 不支持。您可以在WAF上配置单向的SSL证书。 添加防护网站时,如果“对外协议”使用了HTTPS协议,您需要上传证书使证书绑定到防护网站。 建议您使用ELB+独享WAF的模式,在ELB上配置双向认证,具体的操作如下: 购买WAF独享模式。 将网站接入WAF并配置负载均衡(ELB),具体请参见将网站接入WAF防护(独享模式)。 在ELB上配置双向认证,具体请参见HTTPS双向认证。
-
404 Not Found错误排查思路和处理建议 网站接入WAF后,访问网站时出现404 Not Found错误,请参考图1进行排查处理。 图1 404错误排查思路 如果访问网站返回如图2所示页面,原因和处理建议说明如下: 图2 404页面 原因一:添加防护域名到WAF时,配置了非标准端口,例如配置了如图3所示的非标准端口业务,访问网站时未加端口用“https://www.example.com”或者“https://www.example.com:80”访问网站。 图3 非标准端口配置 处理建议:在访问链接后加上非标准端口,再次访问源站,如“https://www.example.com:8080”。 原因二:添加防护域名到WAF时,没有配置非标准端口,访问时使用了非标准端口或者“源站端口”配置的非标准端口,例如配置了如图4所示的防护业务,用“https://www.example.com:8080”访问网站。 图4 未配置非标准端口 没有配置非标准端口的情况下,WAF默认防护80/443端口的业务。其他端口的业务不能正常访问,如果您需要防护其他非标准端口的业务,请重新进行域名配置。 处理建议:直接访问网站域名,如“https://www.example.com”。 原因三:域名解析错误。 处理建议: 如果该域名已添加到WAF进行防护,参照域名解析重新完成域名接入的操作,使流量经过WAF进行转发。 如果该域名未添加到WAF进行防护,需要在DNS服务商处将域名解析到源站的IP。 原因四:用户多个域名走同个WAF集群回源到同一个后端HTTPS源站+端口,由于WAF回源是长连接复用的,后端源站节点无法分辨是哪个域名(nginx通过Host和SNI分辨),会有一定几率出现A域名的请求转发到B域名的后端,所以会出现404。 处理建议:修改域名在WAF的后端配置,不同的域名走不同的源站端口进行规避。 如果访问网站时,返回的不是图2所示的404页面,原因和处理建议说明如下: 原因:网站页面不存在或已删除。 处理建议:请排查网站问题。
更多精彩内容
CDN加速
GaussDB
文字转换成语音
免费的服务器
如何创建网站
域名网站购买
私有云桌面
云主机哪个好
域名怎么备案
手机云电脑
SSL证书申请
云点播服务器
免费OCR是什么
电脑云桌面
域名备案怎么弄
语音转文字
文字图片识别
云桌面是什么
网址安全检测
网站建设搭建
国外CDN加速
SSL免费证书申请
短信批量发送
图片OCR识别
云数据库MySQL
个人域名购买
录音转文字
扫描图片识别文字
OCR图片识别
行驶证识别
虚拟电话号码
电话呼叫中心软件
怎么制作一个网站
Email注册网站
华为VNC
图像文字识别
企业网站制作
个人网站搭建
华为云计算
免费租用云托管
云桌面云服务器
ocr文字识别免费版
HTTPS证书申请
图片文字识别转换
国外域名注册商
使用免费虚拟主机
云电脑主机多少钱
鲲鹏云手机
短信验证码平台
OCR图片文字识别
SSL证书是什么
申请企业邮箱步骤
免费的企业用邮箱
云免流搭建教程
域名价格