使用背景
公司要求对外http服务必须使用web应用防火墙,他的功能和优势请查看官方文档
我的需求
- 能支持泛域名接入
- 支持https证书管理
- 支持https 协议回源用httphttp
- 支持黑白名单 查了一下文档基本上能满足我们的需求,就是有点小贵要支持泛域名的话,需要购买企业版每费用9800/月。
遇到的问题
- 我们的站点接入了CDN,流量都是先从CDN过来, 由于站点遇到攻击,因此WAF的IP惩罚功能将CDN的回源IP进行了封禁处理,导致站点一段时间不可用
解决方法:配置域名时,将代理情况修改为是,这样CDN就会通过XFF(X-Forworded-For)获取客户端IP了(但是也增加了伪造ip的风险);
image.png- 域名配置http强制https,由于WAF存在BUG会导致偶发下载配置失败,导致域名访问页出现异常如下:
企业微信截图_cae0898c-8ea5-4435-8d37-0dace9036b92.png 解决方法: 来回重新配置https强制跳转方式,再尝试是否会强制跳转,成功即可。
