本文列举了Web应用防火墙(Web Application Firewall,简称WAF)3.0版本接入可能遇见的问题。
概览
接入过程中可能遇到的问题
接入后访问源站可能遇到的问题
接入配置页面找不到需要接入的CLB实例、NLB实例或ECS实例的排查方法
问题现象
在接入配置页面,找不到需要接入的CLB实例、NLB实例或ECS实例。
解决方案
可能原因 | 相关操作 |
要接入的CLB实例、NLB实例或ECS实例不满足限制条件 | 参考实例接入限制条件,排查实例。具体限制条件,请参见七层CLB(HTTP/HTTPS)实例接入限制、四层CLB(TCP)实例接入限制、NLB实例接入限制、ECS实例接入限制。 |
要接入的CLB实例未添加对应监听 | |
WAF未同步CLB、NLB或ECS实例 |
|
添加HTTPS引流端口时,显示CLB证书不全,该如何处理?
问题现象
添加HTTPS引流端口时,WAF会对该端口配置的证书进行来源校验。添加端口后出现以下提示:端口号为XXX的CLB证书不全,请到CLB控制台重新选择来源是SSL证书服务的证书。
可能原因
配置的证书不是通过阿里云数字证书管理服务(原 SSL 证书)购买的,且未上传到阿里云数字证书管理服务(原 SSL 证书)。
CLB实例配置该HTTPS端口监听的证书通过CLB控制台上传,然而,这种上传方式导致证书信息无法自动同步到数字证书管理服务(原 SSL 证书管理)。由于 WAF(Web 应用防火墙)仅从数字证书管理服务获取证书信息,这就造成了 WAF 无法获取到完整的证书内容,进而出现证书不全的提示。
曾上传到数字证书管理服务的证书被手动删除,当前数字证书管理服务(原 SSL 证书)中没有您的证书。
解决方案
将您的证书上传到数字证书管理服务(原 SSL 证书)。具体操作,请参见上传SSL证书。
在CLB控制台创建证书,并选择证书来源为阿里云签发证书。具体操作,请参见选择阿里云签发证书。
在CLB控制台,选择已上传的服务器证书。具体操作,请参见步骤二:配置SSL证书。
接入WAF后返回502状态码的多种场景
问题现象
接入WAF后访问后端服务,返回502状态码;查阅日志中出现状态码为502的请求。