• 首页 > 
  • 高防和Web应用防火墙业务问题分析

高防和Web应用防火墙业务问题分析

KB: 91703

 · 

更新时间:2021-05-27 14:07

概述

本文主要介绍高防和Web应用防火墙业务问题的分析说明。

详细信息

高防和Web应用防火墙部署说明

目前已知的综合部署链路如下:

高防>CDN>WAF>SLB>ECS

  1. 高防要放在最前面。高防是抗DDoS产品,其他产品都不具备这个功能,同时高防具备抗CC攻击的功能,完成CC防护后对后端服务的压力减少很多,所以该产品务必放在业务的最前端。
  2. CDN在WAF的前面。CDN会有高频次的静态资源与客户端进行交互,静态资源一般不会有攻击的情况,这部分的流量没有必要经过WAF,动态请求回源请求才需要经过WAF进行安全检查。

问题排查思路

  1. 理清整体的部署链路以及对应的IP记录。
  2. 根据问题现象,判断出现问题的位置。
  3. 从源站开始初层测试排查,请参见绑定HOST的方法和curl代理的方法
  4. 定位问题点后,根据问题点进行处理。

案例分析

问题描述

访问域名www.aaa.com域名发现没有GZIP压缩,而绑定HOST访问是有GZIP压缩,需要分析为什么没有GZIP压缩。

问题分析

  1. 整理业务链路如下所示:
    www.aaa.com>高防(120.XX.XX.220)>WAF(120.XX.XX.200)>SLB(121.XX.XX.46)>ECS
  2. 绑定HOST层依次测试,发现SLB上GZIP正常,但是到WAF上没有GZIP的参数。
  3. 结合产品特性分析是由于开启了数据风控。
    说明:使用风控就必须得插入JS,要求网站返回页面不能用GZIP压缩,否则无法插入。

解决方案

  1. 大容量静态资源不要放在源站上,存放到CDN或者OSS。
  2. 关闭数据风控,详情请参见设置数据风控

适用于

  • DDoS高防IP
  • Web应用防火墙