高防和Web应用防火墙业务问题分析

高防和Web应用防火墙业务问题分析

更新时间:2018-09-19 10:13:39

概述

本文主要介绍高防和Web应用防火墙业务问题的分析说明。

详细信息

高防和Web应用防火墙部署说明

目前已知的综合部署有以下模式。
高防 -> CDN -> WAF -> SLB -> ECS
  1. 高防要放在最前面。高防是抗DDoS产品,其他产品都不具备这个功能,同时高防具备抗CC的功能完成CC防护后对后端服务的压力减少很多,所以该产品务必放在业务的最前端。
  2. CDN在WAF的前面。CDN会有高频次的静态资源与客户端进行交互,静态资源一般不会有攻击的情况,这部分的流量没有必要经过WAF,动态请求回源请求才需要经过WAF进行安全检查口。

问题排查思路

  1. 理清整体的部署链路以及对应的IP记录。
  2. 根据问题现象,判断出现问题的位置。
  3. 从源站开始初层测试排查,参考绑定HOST的方法和curl代理的方法
  4. 定位问题点后,根据问题点进行处理。

案例分析

问题描述

访问域名www.aaa.com域名发现没有GZIP压缩,而绑定HOST访问是有GZIP压缩,需要分析为什么没有GZIP压缩。

问题分析

  1. 整理业务链路如下所示。
    www.aaa.com -> 高防:120.XX.XX.220 -> WAF:120.XX.XX.200 -> SLB:121.XX.XX.46 -> ECS
  2. 绑定HOST层依次测试,发现SLB上GZIP正常,但是到WAF上没有GZIP的参数。
  3. 结合产品特性分析是由于开启了数据风控(使用用风控就必须得插入js,要求网站返回页面不能用GZIP压缩,否则没法插入。)

解决方案

  1. 大容量静态资源不要放在源站上,存放到CDN或者OSS。
  2. 关闭数据风控。

适用于

  • DDoS高防IP
  • Web应用防火墙