概述
本文主要介绍高防和Web应用防火墙业务问题的分析说明。
详细信息
高防和Web应用防火墙部署说明
目前已知的综合部署有以下模式。
高防 -> CDN -> WAF -> SLB -> ECS
高防要放在最前面。高防是抗DDoS产品,其他产品都不具备这个功能,同时高防具备抗CC的功能完成CC防护后对后端服务的压力减少很多,所以该产品务必放在业务的最前端。
CDN在WAF的前面。CDN会有高频次的静态资源与客户端进行交互,静态资源一般不会有攻击的情况,这部分的流量没有必要经过WAF,动态请求回源请求才需要经过WAF进行安全检查口。
问题排查思路
理清整体的部署链路以及对应的IP记录。
根据问题现象,判断出现问题的位置。
定位问题点后,根据问题点进行处理。
案例分析
问题描述
访问域名www.aaa.com域名发现没有GZIP压缩,而绑定HOST访问是有GZIP压缩,需要分析为什么没有GZIP压缩。
问题分析
整理业务链路如下所示。
www.aaa.com -> 高防:120.XX.XX.220 -> WAF:120.XX.XX.200 -> SLB:121.XX.XX.46 -> ECS
绑定HOST层依次测试,发现SLB上GZIP正常,但是到WAF上没有GZIP的参数。
结合产品特性分析是由于开启了数据风控(使用用风控就必须得插入js,要求网站返回页面不能用GZIP压缩,否则没法插入。)
解决方案
大容量静态资源不要放在源站上,存放到CDN或者OSS。
关闭数据风控。
适用于
在文档使用中是否遇到以下问题
更多建议
匿名提交