接入DDoS高防后Apache校验报错

问题描述

同一个IP绑定多个域名的Apache源站,在接入DDoS高防后,由于复用了同一个连接,出现Apache校验相关的报错。

问题原因

高防回源到源站会携带SNI参数,当您是多个域名对应一个源站的场景时,Apache源站会对header中的hosts和SNI中的host域名进行校验,高防回源携带的SNI参数在某些场景下会导致报错。如果高防回源不携带SNI参数,问题可以解决。但是高防回源携带的SNI参数是某些场景下高防用户需要的功能,SNI参数在阿里云高防产品是一个全局开关,如果关闭会影响需要此功能的用户。

解决方案

  • 接入Web应用防火墙(WAF)
    建议您在DDoS高防和源站之间添加WAF产品,业务流程如下。WAF在高防后端时,WAF产品能正常接收高防携带的SNI参数流量,而且WAF产品处理后的流量不带SNI参数,Apache源站校验正常通过,访问不会报错。关于如何接入WAF请参见同时部署WAF和DDoS高防
    DDoS高防 > WAF > 源站
  • 升级Apache版本解决
    Apache在2.3.12版本中增加了校验功能,但是在2.4.10版本Apache无校验机制。因此您可以升级Apache到2.4.10及以上版本。

相关文档

适用于

  • DDoS防护