高防和Web应用防火墙业务问题分析
概述
本文主要介绍高防和Web应用防火墙业务问题的分析说明。
详细信息
高防和Web应用防火墙部署说明
目前已知的综合部署链路如下:
高防>CDN>WAF>SLB>ECS
- 高防要放在最前面。高防是抗DDoS产品,其他产品都不具备这个功能,同时高防具备抗CC攻击的功能,完成CC防护后对后端服务的压力减少很多,所以该产品务必放在业务的最前端。
- CDN在WAF的前面。CDN会有高频次的静态资源与客户端进行交互,静态资源一般不会有攻击的情况,这部分的流量没有必要经过WAF,动态请求回源请求才需要经过WAF进行安全检查。
问题排查思路
- 理清整体的部署链路以及对应的IP记录。
- 根据问题现象,判断出现问题的位置。
- 从源站开始初层测试排查,请参见本地验证转发配置生效。
- 定位问题点后,根据问题点进行处理。
案例分析
问题描述
访问域名www.example.com
域名发现没有GZIP压缩,而绑定HOST访问是有GZIP压缩,需要分析为什么没有GZIP压缩。
问题分析
- 整理业务链路如下所示:
www.example.com>高防(120.XX.XX.220)>WAF(120.XX.XX.200)>SLB(121.XX.XX.46)>ECS - 绑定HOST层依次测试,发现SLB上GZIP正常,但是到WAF上没有GZIP的参数。
- 结合产品特性分析是由于开启了数据风控。
说明:使用风控就必须得插入JS,要求网站返回页面不能用GZIP压缩,否则无法插入。
解决方案
- 大容量静态资源不要放在源站上,存放到CDN或者OSS。
-
关闭数据风控,详情请参见设置数据风控。
适用于
- DDoS高防IP
- Web应用防火墙