閱讀221 返回首頁    go windows

接入狀態檢測異常__排錯手冊_Web 應用防火牆-阿裏雲

WAF配置完成後,控製台會有一個接入狀態的展示,正常情況下如下圖:

正常

此處的檢測條件為兩個:

  • 條件A:接入的域名是用CNAME解析過來的
  • 條件B:接入的域名有一定的流量

注:條件B中,至少5秒內要多於10個請求才算有一定流量,每分鍾有2、3個請求這種情況流量太低,認為無流量。具體曆史流量大小在“安全總覽”-> “CC攻擊”(查看報表)中查看。

我們對CNAME接入進行特別的檢測,是因為我們推薦CNAME而不是A記錄的方式接入WAF,因為前者可以在機房故障等極端情況下切換到其他的節點或機房,實現災備,但A記錄不可以。當然在正常情況下,使用A記錄接入也可以正常使用。

下麵對各種情況下的異常狀態進行逐一說明:

1. 精確域名接入

在WAF上配置精確域名(不帶*的域名),條件A和B滿足其一即會顯示接入正常。如果既沒有CNAME接入,又沒有流量,則會顯示如下的異常狀態:

接入異常

2. 泛域名接入

如*.abc.com,泛域名除了正常狀態,隻會出現如下一種狀態:泛域名接入

這意味著當前接入的泛域名沒有流量(或流量很低)。請參考條件B。

3. 特別的,WAF前麵有CDN等代理的

比如接入架構為CDN-> WAF,域名解析在CDN上的情況,這時不會檢測到WAF有CNAME接入,加上往往CDN回源WAF的流量會很低,可能會由於流量太小而引起接入狀態異常。

綜上,如果確認配置沒有問題,這裏提示異常不代表WAF沒有正確接入。

手動測試WAF是否在正常防護的方式:

  1. 訪問WAF防護的網址,如www.abc.com,打開正常
  2. 在URL後麵加一個/?alert(xss),這是一個測試的web攻擊請求,如www.abc.com/?alert(xss),預期能彈出WAF阻攔請求的405頁麵。

最後更新:2016-11-07 11:19:07

  上一篇:go 接入後HTTPS異常(SNI問題)__排錯手冊_Web 應用防火牆-阿裏雲
  下一篇:go 欠費續費__購買指導_證書服務-阿裏雲