:Webサイトアクセス例外のトラブルシューティング方法?

問題

説明

原因

解決策

410 ゴーンエラー

410ページが表示され、Webサイトが一時的に利用できないこと、およびプロトコルとポートがWAFに追加されていないこと、またはHTTPステータスコード410が返されることが表示されます。

Webサイトのドメイン名がWAFに追加されていないか、Webサイトへのアクセスに使用されるポートがリクエストの送受信に指定されていません。 たとえば、Webサイトへのアクセスにポート443が使用されているが、要求の受信と転送にポートが指定されていない場合、410ページが表示されます。

Webサイトのドメイン名をWAFに追加するか、WAFコンソールでポートを指定します。 詳細については、「ドメイン名の追加」をご参照ください。

405 メソッドが許可されていないエラー

405ページが表示され、アクセスがブロックされているか、HTTPステータスコードの405が返されます。

アクセス要求は、カスタム保護ポリシーまたは保護ルールエンジンによってブロックされます。

1. Webサイトのドメイン名のカスタム保護ポリシーを無効にし、エラーメッセージが表示されるかどうかを確認します。 詳細については、「カスタム保護ポリシーの設定」をご参照ください。

   405ページが表示されなくなった場合、カスタム保護ポリシーはアクセス要求をブロックします。 カスタム保護ポリシーを見つけて削除します。

2. カスタム保護ポリシーを無効にしても405ページが表示される場合は、Webサイトのドメイン名の保護ルールエンジンを無効にして、例外が続くかどうかを確認します。 詳細については、「保護ルールエンジンの設定」機能をご参照ください。 を無効にします。Disable the保護ルールエンジンWebサイトのドメイン名に対して、例外が続くかどうかを確認します。

   保護ルールエンジンを無効にした後にWebサイトにアクセスできる場合は、[保護ルールエンジン] セクションの [保護ルールグループ] パラメーターを [ルーズルールグループ] に設定することを推奨します。 デフォルトでは、中ルールグループが選択されています。 Log Service for WAF機能を使用して、ブロックされたリクエストのURLを取得することもできます。 次に、URLから送信されるすべてのリクエストを許可するようにカスタム保護ポリシーを設定します。 詳細については、「カスタム保護ポリシーの設定」をご参照ください。

302 見つかったエラー

システムは接続がリセットされることを促します。 HTTPステータスコード302が返され、Set-Cookieヘッダーが応答に含まれます。

IPアドレスからのアクセスは、HTTPフラッド保護をトリガーします。

Webサイトのドメイン名のHTTPフラッド保護を無効にします。 詳細については、「HTTPフラッド保護の設定」をご参照ください。

HTTPフラッド保護を無効にした後にWebサイトにアクセスできる場合は、HTTPフラッド保護セクションでModeパラメーターをPreventionに設定することを推奨します。 Modeが既にPreventionに設定されている場合は、この手順をスキップします。 Log Service for WAF機能を使用して、ブロックされたリクエストのURLを取得することもできます。 次に、URLから送信されるすべてのリクエストを許可するようにカスタム保護ポリシーを設定します。 詳細については、「カスタム保護ポリシーの設定」をご参照ください。

HTTPS アクセス例外

クライアントがHTTPSリクエストを送信すると、証明書www.notexist.comが返されます。

WAFでは、ブラウザがサーバー名表示 (SNI) をサポートする必要があります。 ただし、クライアントのブラウザはSNIをサポートしていない場合があります。

デフォルトでは、macOSおよびiOSオペレーティングシステムはSNIをサポートしています。 WindowsおよびAndroidオペレーティングシステムの場合、オペレーティングシステムがSNIと互換性があることを確認してください。 詳細については、「SNI互換性から生じるHTTPSアクセス例外 (証明書が信頼できない) 」をご参照ください。

502 Bad Gatewayエラー

Webサイトにアクセスすると、空白の画面エラーが発生し、HTTPステータスコードの502が返されます。

配信元サーバーにパケット損失が発生するか、到達不能になると、WAFはHTTPステータスコード502を返します。

1. ブラックリスト、iptablesプログラム、ファイアウォール、SafeDog、Yunsuoなどのセキュリティソフトウェアまたはポリシーが配信元サーバーに設定されているかどうかを確認します。 セキュリティソフトウェアまたはポリシーが配信元サーバーに設定されている場合は、セキュリティソフトウェアまたはポリシーを停止またはアンインストールし、ブラックリストをクリアしてから、例外が解決されたかどうかを確認します。WAFのback-to-origin CIDRブロックからのアクセスを許可する

2. WAFをバイパスして、Webサイトにアクセスできるかどうかを確認します。 詳細については、このトピックの「オリジンサーバーに障害があるかどうかの確認」をご参照ください。

   • Webサイトにアクセスできない場合、オリジンサーバーに障害があります。 プロセス、CPU使用率、メモリ使用量、webログなど、オリジンサーバーの動作ステータスを確認し、例外のトラブルシューティングを行うことを推奨します。

   • Webサイトにアクセスできる場合、例外はオリジンサーバーによるものではありません。 WAFがリクエストをブロックするために例外が発生するかどうかを確認します。

504 Gateway Timeoutエラー

アップストリームサーバーはリクエストを時間内に完了できず、HTTPエラーコード504が返されます。

• バックエンドサーバーは、オリジンサーバーに送信されるすべてのリクエストを処理することはできません。

• 永続的な接続がタイムアウトします。

• バックエンドサーバーがオリジンサーバーに送信されたすべてのリクエストを処理できないため、例外が発生したかどうかを確認します。 504 Gateway Timeoutエラーは、接続数が多すぎるか、CPU使用率が高すぎるために発生します。

• クライアントとサーバー間の永続的な接続がタイムアウトするかどうかを確認します。 詳細については、「」をご参照ください。永続的な接続がタイムアウトした場合はどうすればよいですか?

ドメイン名へのpingの失敗

ドメイン名をpingすることができず、DDoS攻撃がWAFで発生し、ブラックホールフィルタリングがトリガーされたというテキストメッセージが表示されます。

WAFはDDoS攻撃を軽減できません。

Anti-DDoSを有効にしてDDoS攻撃を軽減します。 詳細については、「Alibaba Cloud Anti-DDoSソリューションの比較」をご参照ください。

不均衡なサーバーロード

バックエンドの複数のECSインスタンス間で負荷が不均衡になります。

WAFはIPアドレスにレイヤー4ハッシュアルゴリズムを使用します。 Anti-DDoS ProまたはAnti-DDoS PremiumがWAFとともにデプロイされている場合、またはSLBがレイヤー4転送を使用している場合、ECSインスタンスの負荷が不均衡になる可能性があります。

WAFが有効になっているSLBを使用してレイヤ7トラフィックをルーティングおよび保護するようにECSを設定し、cookieベースのセッション維持と負荷分散を有効にします。

WeChat または Alipay のコールバックに失敗

WeChat または Alipay コールバックに失敗します。

考えられる理由は、HTTPフラッド保護ルールが高頻度のリクエストをブロックするか、HTTPSコールバックが使用されますが、WeChatまたはAlipayがSNIをサポートしていないためです。

• HTTPフラッド保護:

  1. Webサイトのドメイン名のHTTPフラッド保護を無効にします。 詳細については、「HTTPフラッド保護の設定」をご参照ください。

  2. HTTPフラッド保護を無効にした後にWebサイトにアクセスできる場合は、HTTPフラッド保護セクションでModeパラメーターをPreventionに設定することを推奨します。 Modeが既にPreventionに設定されている場合は、この手順をスキップします。 Log Service for WAF機能を使用して、ブロックされたリクエストのURLを取得することもできます。 次に、URLから送信されるすべてのリクエストを許可するようにカスタム保護ポリシーを設定します。 詳細については、「カスタム保護ポリシーの設定」をご参照ください。

• SNI: WAFをバイパスし、ECSまたはSLBインスタンスのIPアドレスを使用するようにWeChatまたはAlipayを設定します。 詳細については、「SNI互換性から生じるHTTPSアクセス例外 ("証明書が信頼されていない") 」をご参照ください。