高防和Web应用防火墙业务问题分析

概述

本文主要介绍高防和Web应用防火墙业务问题的分析说明。

详细信息

高防和Web应用防火墙部署说明

目前已知的综合部署链路如下：

高防>CDN>WAF>SLB>ECS

1. 高防要放在最前面。高防是抗DDoS产品，其他产品都不具备这个功能，同时高防具备抗CC攻击的功能，完成CC防护后对后端服务的压力减少很多，所以该产品务必放在业务的最前端。
2. CDN在WAF的前面。CDN会有高频次的静态资源与客户端进行交互，静态资源一般不会有攻击的情况，这部分的流量没有必要经过WAF，动态请求回源请求才需要经过WAF进行安全检查。

问题排查思路

1. 理清整体的部署链路以及对应的IP记录。
2. 根据问题现象，判断出现问题的位置。
3. 从源站开始初层测试排查，请参见本地验证转发配置生效。
4. 定位问题点后，根据问题点进行处理。

案例分析

问题描述

访问域名www.example.com域名发现没有GZIP压缩，而绑定HOST访问是有GZIP压缩，需要分析为什么没有GZIP压缩。

问题分析

1. 整理业务链路如下所示：
   www.example.com>高防（120.XX.XX.220）>WAF（120.XX.XX.200）>SLB（121.XX.XX.46）>ECS
2. 绑定HOST层依次测试，发现SLB上GZIP正常，但是到WAF上没有GZIP的参数。
3. 结合产品特性分析是由于开启了数据风控。
   

   说明：使用风控就必须得插入JS，要求网站返回页面不能用GZIP压缩，否则无法插入。

解决方案

1. 大容量静态资源不要放在源站上，存放到CDN或者OSS。

2. 关闭数据风控，详情请参见设置数据风控。

适用于

• DDoS高防IP
• Web应用防火墙