searchusermenu
  • 发布文章
  • 消息中心
点赞
收藏
评论
分享
原创

Web应用防火墙(原生版)域名接入常见问题处理

2024-09-24 10:07:24
10
0

 

1.   添加域名时无法选择需要的协议端口

1.1.  购买版本为Web应用防火墙(原生版)基础版

       购买版本为Web应用防火墙(原生版)基础版,基础版仅支持80443端口,不支持其他HTTP/HTTPS非标准端口防护,详情请参考官网文档-产品规格说明

       处理办法:需要提升产品规格为标准版、企业版、旗舰版等更规格的产品型号

1.2.  暂不支持客户所需的协议端口

       Web应用防火墙(原生版)目前并未支持全量的非标端口,对所支持的非标端口有限制,详细说明请看官网文档介绍-WAF支持哪些非标准端口

       处理办法:若您已购买标准版及以上规格的Web应用防火墙(原生版),但您所需要的端口不在现已支持范围内,请提交工单进行咨询

 

2.   添加域名后接入状态显示异常

2.1.  未配置CNAME记录

       客户侧未在域名解析服务商处配置CNAME记录,或CNAME记录已配置但未生效,可通过ping防护域名的方式进行验证,若解析地址与WAF提供的CNAME域名解析地址一致,则正常生效;若不一致,则说明未配置CNAME解析或配置解析未生效

       处理办法:CNAME检测为周期性探测,需要一定时间生效,可观察30分钟,若超出此时间依旧未生效,请提交工单进行咨询

2.2.  检测到源站不可达

       Web应用防火墙(原生版)防护引擎会根据您配置的防护域名,对源站进行探测,若在探测过程中无法获取正常返回页面,则会判定为源站不可达

       处理办法:需检测源站是否配置黑白名单限制Web应用防火墙(原生版)的回源地址,若不存在访问限制,可修改本地HOST直接指向源站,绕过WAF验证源站是否出于正常工作状态

2.3.  配置下发中

       控制台修改配置,此配置未同步到防护引擎

       处理办法:正常情况下控制台修改配置后会立即同步给防护引擎,但存在一些异常情况可能导致配置下发失败,防护引擎每10分钟会主动同步一次全量配置,可等待10分钟查看配置是否下发成功,若超过10分钟一直未消除告警,请提交工单进行咨询

2.4.  证书过期

       防护域名所添加的证书已经过期

       处理办法:重新上传处于有效期内的证书

 

3.   添加域名后访问域名失败

3.1.  防护域名信息配置错误

       防护域名信息配置错误,包括域名错误、端口错误、HTTP/HTTPS协议错误等等,均会导致出现403

       处理办法:删除错误的防护域名,配置正确的防护域名,建议在切换域名解析之前,修改本机HOST指向防域名的CNAME地址进行验证,验证通过后再正式切换域名解析

3.2.  反复重定向成环

       客户的域名A调了域名B,然后这两个域名都接了waf,但waf会判断请求是否会成环,防护引擎判断如果当前请求成环就会返回403

       处理办法:防护引擎对重定向经过防护引擎的次数有限制,验证业务是否合理,不存在反复重定向成环的情况

3.3.  带宽超限

       根据客户购买Web应用防火墙(原生版)产品规格不同,对经过Web应用防火墙(原生版)的流量有不同的限制,详情请查看官网文档产品规格介绍,超过保护带宽的流量将会被丢弃

       处理办法:购买业务扩展包,或提升产品规格

3.4.  QPS超限

       根据客户购买Web应用防火墙(原生版)产品规格不同,对经过Web应用防火墙(原生版)的QPS有不同的限制,详情请查看官网文档产品规格介绍,超过QPS限制的部分请求将会被丢弃

       处理办法:购买业务扩展包,或提升产品规格

0条评论
0 / 1000
c****t
2文章数
0粉丝数
c****t
2 文章 | 0 粉丝
c****t
2文章数
0粉丝数
c****t
2 文章 | 0 粉丝
原创

Web应用防火墙(原生版)域名接入常见问题处理

2024-09-24 10:07:24
10
0

 

1.   添加域名时无法选择需要的协议端口

1.1.  购买版本为Web应用防火墙(原生版)基础版

       购买版本为Web应用防火墙(原生版)基础版,基础版仅支持80443端口,不支持其他HTTP/HTTPS非标准端口防护,详情请参考官网文档-产品规格说明

       处理办法:需要提升产品规格为标准版、企业版、旗舰版等更规格的产品型号

1.2.  暂不支持客户所需的协议端口

       Web应用防火墙(原生版)目前并未支持全量的非标端口,对所支持的非标端口有限制,详细说明请看官网文档介绍-WAF支持哪些非标准端口

       处理办法:若您已购买标准版及以上规格的Web应用防火墙(原生版),但您所需要的端口不在现已支持范围内,请提交工单进行咨询

 

2.   添加域名后接入状态显示异常

2.1.  未配置CNAME记录

       客户侧未在域名解析服务商处配置CNAME记录,或CNAME记录已配置但未生效,可通过ping防护域名的方式进行验证,若解析地址与WAF提供的CNAME域名解析地址一致,则正常生效;若不一致,则说明未配置CNAME解析或配置解析未生效

       处理办法:CNAME检测为周期性探测,需要一定时间生效,可观察30分钟,若超出此时间依旧未生效,请提交工单进行咨询

2.2.  检测到源站不可达

       Web应用防火墙(原生版)防护引擎会根据您配置的防护域名,对源站进行探测,若在探测过程中无法获取正常返回页面,则会判定为源站不可达

       处理办法:需检测源站是否配置黑白名单限制Web应用防火墙(原生版)的回源地址,若不存在访问限制,可修改本地HOST直接指向源站,绕过WAF验证源站是否出于正常工作状态

2.3.  配置下发中

       控制台修改配置,此配置未同步到防护引擎

       处理办法:正常情况下控制台修改配置后会立即同步给防护引擎,但存在一些异常情况可能导致配置下发失败,防护引擎每10分钟会主动同步一次全量配置,可等待10分钟查看配置是否下发成功,若超过10分钟一直未消除告警,请提交工单进行咨询

2.4.  证书过期

       防护域名所添加的证书已经过期

       处理办法:重新上传处于有效期内的证书

 

3.   添加域名后访问域名失败

3.1.  防护域名信息配置错误

       防护域名信息配置错误,包括域名错误、端口错误、HTTP/HTTPS协议错误等等,均会导致出现403

       处理办法:删除错误的防护域名,配置正确的防护域名,建议在切换域名解析之前,修改本机HOST指向防域名的CNAME地址进行验证,验证通过后再正式切换域名解析

3.2.  反复重定向成环

       客户的域名A调了域名B,然后这两个域名都接了waf,但waf会判断请求是否会成环,防护引擎判断如果当前请求成环就会返回403

       处理办法:防护引擎对重定向经过防护引擎的次数有限制,验证业务是否合理,不存在反复重定向成环的情况

3.3.  带宽超限

       根据客户购买Web应用防火墙(原生版)产品规格不同,对经过Web应用防火墙(原生版)的流量有不同的限制,详情请查看官网文档产品规格介绍,超过保护带宽的流量将会被丢弃

       处理办法:购买业务扩展包,或提升产品规格

3.4.  QPS超限

       根据客户购买Web应用防火墙(原生版)产品规格不同,对经过Web应用防火墙(原生版)的QPS有不同的限制,详情请查看官网文档产品规格介绍,超过QPS限制的部分请求将会被丢弃

       处理办法:购买业务扩展包,或提升产品规格

文章来自个人专栏
dccccccc
2 文章 | 1 订阅
0条评论
0 / 1000
请输入你的评论
0
0