|
类型 |
问题列表 |
|
产品FAQ |
|
|
网站访问专题 |
|
|
产品配置 |
|
|
故障分析 |
|
|
服务类 |
|
|
知识点 |
非阿里云服务器能否使用WAF?
可以,WAF支持云外机房用户接入。WAF可以保护任何公网路由可达的服务器,不论是阿里云服务、其他的云服务、IDC机房等环境,都可以使用WAF。
WAF支持云虚拟主机吗?
支持,WAF的所有版本都支持独享虚拟主机,直接开通WAF进行配置即可。
对于共享虚拟主机,由于使用的是共享IP,源站由多个用户共同使用,不建议单独配置WAF。
WAF是否支持防护HTTPS业务?
支持,WAF的所有版本都支持HTTPS业务,并且支持泛域名接入。
只需根据提示将SSL证书及私钥上传,WAF即可防护HTTPS业务流量。配置HTTPS业务接入后,WAF会先解密访问请求,检查请求包,再重新加密,并转发正常的请求到源站。
WAF是否支持自定义端口?
WAF企业版及旗舰版支持自定义非标准端口。企业版最多支持10个非标准端口,旗舰版最多支持50个非标准端口。
WAF是否对接入端口有限制?
WAF只支持接入通过指定端口提供HTTP/HTTPS服务的域名。关于WAF不同版本支持接入的端口范围,请参见各版本支持的端口。
除了上述WAF对接入端口的限制,根据当前网络访问验证结果,互联网运营商侧或因部分高危端口存在安全隐患,会拦截针对高危端口的业务流量。相关的高危TCP端口包括:42、135、137、138、139、445、593、1025、1434、1068、3127、3128、3129、3130、4444、5554、5800、5900、9996。如果您的Web业务使用了上述高危端口,则业务接入WAF后,可能出现业务在部分地域无法被访问的问题。因此,建议您将业务接入WAF前,确保Web业务使用其他非高危端口。
WAF的QPS限制规格是针对整个WAF实例汇总的QPS,还是配置的单个域名的QPS上限?
WAF的QPS限制规格针对整个WAF实例。
例如,您在WAF实例上配置防护了3个域名,则这3个域名累加的QPS不能超过规定上限。如果超过已购买的WAF实例的QPS限制,将触发限速,可能导致随机丢包。
WAF是否支持HTTPS双向认证?
WAF暂时不支持HTTPS双向认证。
WAF是否支持Websocket、HTTP 2.0或SPDY协议?
WAF支持WebSocket协议,且企业版及以上规格支持HTTP 2.0。目前暂不支持SPDY协议。
为避免攻击者通过HTTP 2.0明文走私来绕过WAF,您可以通过创建自定义规则,拦截Header名称为Upgrade,且值为h2c的请求。具体操作,请参见设置自定义规则防御特定请求(WAF 3.0)、设置自定义防护策略(WAF 2.0)。
HTTP 2.0业务接入WAF防护是否会对源站有影响?
有影响。HTTP 2.0业务接入WAF防护表示WAF可以处理客户端的HTTP 2.0请求,而WAF目前仅支持以HTTP 1.0/1.1协议转发回源请求,即WAF与源站间暂不支持HTTP 2.0。因此,如果您将HTTP 2.0业务接入WAF防护,则源站的HTTP 2.0特性将会受到影响,例如,源站HTTP 2.0的多路复用特性可能失效,造成源站业务带宽上升。
WAF支持哪些TLS协议?
中国内地WAF实例默认支持TLS 1.0、TLS 1.1、TLS 1.2,海外地区WAF实例默认支持TLS 1.1、TLS 1.2。
如果您有个性化需求(例如,不需要TLS 1.0版本、希望开启TLS 1.3等),可以自定义TLS配置。相关操作,请参见配置自定义TLS。
WAF是否支持接入采用NTLM协议认证的网站?
不支持。如果网站使用NTLM协议认证,经WAF转发的访问请求可能无法通过源站服务器的NTLM认证,客户端将反复出现认证提示。建议您使用其他方式进行网站认证。
WAF中的源站IP可以填写ECS内网IP吗?
不可以。WAF通过公网进行回源,不支持直接填写内网IP。
WAF能够保护在一个域名下的多个源站IP吗?
可以,一个WAF域名配置中最多支持配置20个源站IP地址。
WAF配置多个源站时如何负载?
如果您配置了多个源站IP地址,WAF默认使用IP Hash的方式对访问请求进行负载均衡。您也可以根据需要自定义负载均衡算法。更多信息,请参见添加域名。
WAF是否支持健康检查?
WAF默认启用健康检查。WAF会对所有源站IP进行接入状态检测,如果某个源站IP没有响应,WAF会将访问请求转发至其他源站IP。
修改WAF的源站IP是否有延迟?
有。修改WAF已防护的源站IP后,大约需要一分钟生效。
WAF的回源IP段是多少?
您可以在Web应用防火墙控制台的页面查询WAF的回源IP段。更多信息,请参见放行WAF回源IP段。
WAF是否会自动将WAF回源IP段加入安全组?
WAF不会自动将WAF回源IP段添加到安全组。如果您的源站部署了其他防火墙或主机安全防护软件,建议您将WAF回源IP段添加至相应的白名单中。
建议您配置源站保护策略,对您的源站进行安全防护。详细信息,请参见设置源站保护。
WAF回源是否需要放行所有客户端IP?
根据您的业务情况,您可以只放行WAF回源IP段,也可以放行所有客户端IP。对于Web业务,建议您只放行WAF回源IP,实现源站保护。
WAF的独享IP是否能够防御DDoS攻击?
可以。
WAF为每个用户提供独立的IP,该IP同样适用DDoS防护的黑洞策略,和ECS、SLB服务器一致。WAF的黑洞阈值和当前地区ECS的默认阈值相同。
WAF能和CDN或DDoS高防一起接入吗?
WAF完全兼容CDN和DDoS高防服务。同时接入WAF、CDN和DDoS高防的最佳部署架构为:客户端 > DDoS高防 > CDN > WAF > 负载均衡 > 源站。
WAF与DDoS高防或CDN一起接入时,只要将WAF提供的CNAME地址配置为DDoS高防或CDN的源站即可。这样就可以实现流量在经过DDoS高防或CDN之后,被转发到WAF,再通过WAF最终转发至源站,从而对源站进行全面的安全防护。更多信息,请参见通过联合部署DDoS高防和WAF提升网站防护能力、部署WAF和CDN为开启内容加速的域名提供WAF防御。
WAF是否支持跨账号使用CDN+高防+WAF的架构?
支持,您可以跨账号使用CDN、高防、WAF产品组合成抵御DDoS攻击和Web应用攻击的安全架构。
WAF如何保证上传证书及密钥的安全性?是否会解密HTTPS流量并记录访问请求的内容?
阿里云Web应用防火墙在防护HTTPS业务时,需要您上传对应的SSL证书及密钥,用于解密HTTPS流量并检测流量中的攻击特征。我们使用了专用的证书服务器(Key Server)来存储和管理密钥。Key Server依托于阿里云密钥管理系统KMS(Key Management Service),能够保护证书和密钥的数据安全性、完整性和可用性,符合监管和等保合规要求。关于KMS的详细介绍,请参见什么是密钥管理服务。
WAF使用您上传的SSL证书及密钥解密HTTPS业务流量,只用于实时检测。我们只会记录包含攻击特征(payload)的部分请求内容,用于攻击报表展示、数据统计等,不会在您未授权的情况下,记录全量的请求或响应内容。
阿里云Web应用防火墙已通过ISO 9001、ISO 20000、ISO 22301、ISO 27001、ISO 27017、ISO 27018、ISO 27701、ISO 29151、BS 10012、CSA STAR、等保三级、SOC 1/2/3、C5、HK金融、OSPAR、PCI DSS等多项国际权威认证,且作为标准的阿里云云产品,在云平台层面具备与阿里云同等水平的安全合规资质。详细内容,请参见阿里云信任中心。
网站已接入WAF防护,为什么在域名列表中查询不到?
您的网站备案信息可能已经失效,导致域名不符合接入要求,已被WAF自动清除。您需要为该域名完成ICP备案,并重新将网站接入WAF防护。关于阿里云ICP备案的更多信息,请参见ICP备案流程概述。
WAF如何防御CC攻击?
WAF提供多种CC安全防护模式,您可以根据实际情况进行选择。更多信息,请参见设置CC安全防护。
如果您希望同时有好的防护效果和低误杀率,建议您选择WAF企业版和旗舰版,由安全专家定制针对性的防护算法。详细信息,请参见设置自定义防护策略。
在WAF管理控制台更改配置后大约需要多久生效?
一般情况下,更改后的配置在一分钟内即可生效。
WAF自定义防护策略(ACL访问控制)中的IP字段是否支持填写网段?
支持。
为什么URL匹配字段包含双斜杠(//)的自定义防护策略规则不会生效?
由于WAF的规则引擎在处理URL匹配字段时会进行标准化处理,默认将连续的正斜杠(/)进行压缩,因此无法正确匹配包含双斜杠(//)URL的自定义防护策略规则。
如果您需要对包含双斜杠(//)的URL设置ACL访问控制,您可以直接设置该URL对应的单斜杠路径作为匹配条件。例如,如果需要将//api/sms/request作为URL匹配字段的条件值,您只需在匹配内容中填写/api/sms/request,WAF即可针对包含该内容的请求进行访问控制。
WAF管理控制台中能查看CC攻击的攻击者IP吗?
可以。您可以开通WAF日志服务,然后使用日志查询功能查询CC攻击的攻击者IP信息。更多信息,请参见快速使用WAF日志服务、日志查询。
如何查询WAF使用的带宽流量?
您可以在Web应用防火墙控制台的总览页面查看已使用的带宽流量情况。
已接入网站的未配置端口是否会对源站带来安全风险?
Web应用防火墙(WAF)对外提供流量接入转发服务,防护集群会默认提供一系列端口用于您的网站接入和防护服务,每个网站的业务流量只通过网站接入时配置的HTTP/HTTPS端口进行接入业务流量转发。
对于已接入WAF防护的网站,WAF防护集群不会转发未配置端口(无论该端口是否开启)的访问请求流量到源站服务器。因此,不会对源站服务带来任何安全风险和威胁。
WAF默认提供的端口列表,请参见各版本支持的端口。
Web应用防火墙流量访问示意图
下图展示了Web应用防火墙的流量访问示意流程。
流程说明如下:
- Client请求访问Web应用防火墙的VIP地址。
- Web应用防火墙的VIP将请求转发给LVS集群后方一台服务器(A)进行处理。
- 服务器(A)将报文解析到7层,判断是否为恶意访问或者攻击。
- 如果是正常访问,则转发给源站。
- 如果是恶意访问,则阻断业务,直接将报文返回给Client并结束。
- 源站收到转发的报文后进行处理,处理完成后将报文返回给服务器(A)。
请注意步骤3和4中服务器(A)的角色变化。
- 对于Client而言,服务器(A)为服务端。
- 对于源站而言, 服务器(A)为客户端。
- 服务器(A)将报文通过LVS的IP地址,返回给Client并结束。
CC攻击防护攻击紧急模式
当CC攻击防护的正常防护模式不能够帮助您拦截大流量且复杂的CC攻击时,您可以选择攻击紧急模式。
默认情况下,CC攻击的防护模式是正常模式,帮助您拦截常规的CC攻击。当您发现源站CPU飙升,数据库或者应用丢包时,您可以选用攻击紧急模式。
攻击紧急模式可能导致对正常请求的误拦截。建议您购买企业版或者旗舰版Web应用防火墙,并启用自定义CC防护。
非标端口业务无法接入Web应用防火墙高级版
Web应用防火墙高级版仅支持接入HTTP 80、8080端口,或者HTTPS 443、8443端口的网站业务。如果您的后端业务使用了上述接口外的非标准端口,则在接入Web应用防火墙高级版时,业务接入会失败。
解决方案
- 企业版及以上规格的Web应用防火墙实例支持接入特定的非标准端口业务,详见支持的自定义端口范围。如果您的后端业务端口在WAF支持的端口范围内,则您可以升级Web应用防火墙高级版实例到企业版及以上规格。具体操作请参见升级。
- 针对Web应用防火墙不支持的业务端口,您可以部署负载均衡作为中间转发,网络架构为:WAF->SLB->ECS。
使用负载均衡作为中间转发时,您可以在WAF上正常配置HTTPS业务, 端口默认为443; 负载均衡上配置HTTPS监听,前端端口为443,后端端口为业务端口。
上传HTTPS证书时提示“Https私钥格式错误”
问题原因
证书的私钥可能被加密了。Web应用防火墙无法识别被加密的私钥。
解决方案
- 查看私钥文件。如果私钥文件中包含如下图红框中标注的内容,则说明私钥被加密。
- 执行以下命令并输入密码,解密私钥文件。
openssl rsa -in [$keyName] -text #[$keyName]表示私钥文件名称。如果返回结果如下图所示,则说明私钥解密成功。
- 在Web应用防火墙重新上传解密后的私钥内容。
Web应用防火墙拦截上传文件的请求
在浏览器中调用POST方法上传文件时,会有一定的概率出现405错误,提示被Web应用防火墙拦截。
因为POST方法上传文件时,文件本身的内容也会被转码放到POST请求的body中一起上传,并且同样会被Web应用防火墙检测到。当转码后的文件中出现一些关键字时,就会被Web应用防火墙误认为含有恶意代码,从而拦截。
由于是文件转码后的误命中,暂时没有主动的解决办法,建议您将该地址加入精准访问控制的放行规则里。
登录状态丢失怎么解决?
部分网站在使用WAF后,可能会出现登录状态丢失,或其他和登录状态相关的异常。这些异常的主要原因有:
- 域名有多个源站(ECS),却没有做session同步,尤其是在WAF后面挂接了SLB的架构下。
- 没有从x-forwarded-for中获取真实IP进行校验。
解决方案
- 为服务器配置session同步。
- 如果WAF后面挂接了SLB,可以用七层HTTP方式做转发,打开会话保持,并以cookie方式做会话保持。
- 从x-forwarded-for中获取访问者真实IP进行校验。
具体请参见获取访问者真实IP。
长连接超时问题
在某些特定业务场景中,客户端在提交某个请求后,需要等待服务器处理超过60秒的时间才可以返回响应,并且在处理完毕之前服务器与客户端没有任何数据交互。
例如,您通过网页上传一个Excel表格,要求服务器处理其中的数据(处理时间约需3分钟),且在提交表格后120秒内,客户端与服务器之间没有任何数据交互(HTTP或者TCP报文)。这种情况下,WAF会返回一个504超时的响应给客户端,同时断开连接。
这是因为WAF默认不会维持超过120秒(没有任何数据交互)的长连接。
解决方案
-
登录Web应用防火墙3.0控制台。在顶部菜单栏,选择WAF实例的资源组和地域(中国内地、非中国内地)。
-
在左侧导航栏,单击接入管理。
-
在CNAME接入页签,定位到目标域名,单击操作列的编辑。
-
在配置转发向导页面,单击其他高级设置,调整域名的设置读连接超时时间、设置写连接超时时间。
读连接超时时间和写连接超时时间的默认值为120s,可配置范围为1~3600s。
配置Web应用防火墙后无法访问小程序
-
如果PC端应用可以被正常访问,但小程序无法被正常访问,您需要检查已上传的证书的证书链是否完整。如果证书链不完整,请重新上传证书链完整的证书。
-
检查对应站点是否用到多个端口。如果是,请将所有端口添加到WAF端口监听中。
-
HTTPS站点检查添加的证书是否有效。如果无效,请及时更新证书。
-
WAF支持防护的协议有HTTP 1.0、HTTP 1.1和HTTP 2.0(WAF 2.0仅企业版以上规格支持)和WebSocket协议。目前暂不支持SPDY协议,不支持的协议会被阻断,协议协商失败。
配置Web应用防火墙后部分客户端无法访问网站
配置Web应用防火墙(Web Application Firewall,简称WAF)后,Android版微信无法访问网站,出现空白,iOS版微信访问正常。QQ浏览器无法访问网站,其他浏览器访问正常。错误日志如下所示。
可能原因
网站证书不可信。
解决方案
-
使用权威证书检测机构在线检测该网站,如果提示证书不可信,根据检查结果,修改相应配置。
-
使用Android系统自带的浏览器打开该网站,如果提示该证书并非来自可信赖的授权中心,确定继续? ,单击查看证书,根据证书详情,修复问题。
-
检查已上传的证书的证书链是否完整。如果证书链不完整,请重新上传证书链完整的证书。
云解析版本
Web应用防火墙(Web Application Firewall,简称WAF)不再支持云解析版本,建议您将云解析版本升级到WAF最新版本。
为什么不能直接访问WAF生成的CNAME域名?
Web应用防火墙WAF(Web Application Firewall)生成的CNAME域名仅用于DNS解析,不能直接访问。如果直接访问CNAME域名,可能显示504页面,或者帮助页面。
