全部产品
Search
文档中心

Web 应用防火墙:透明接入常见问题

更新时间:Apr 12, 2024

本文列举了透明接入过程中,可能遇见的常见问题。

同一个域名是否支持使用透明接入和CNAME接入两种模式?

不支持。每个域名只能使用透明接入或CNAME接入两种模式之一。如果您已通过CNAME接入开启Web应用防火墙(Web Application Firewall,简称WAF)防护的域名,需要切换为透明接入,您必须先删除该域名的CNAME接入配置,然后在透明接入模式下重新接入该域名。

重要

实例首次接入WAF时,Web业务可能会出现秒级闪断。在客户端可自动重连的情况下该闪断会自动恢复,不会对您的业务造成影响,请您关注业务并根据业务系统评估准备重连或回源等相关容灾机制。

已透明接入的域名如果无需WAF转发流量和提供防护,该如何处理?

如果您确认该域名无需WAF继续提供防护,您可以在网站接入页面服务器列表中,定位该域名所在的源站IP,为对应端口关闭引流。具体操作,请参见修改端口引流状态。操作完成后,该域名的访问流量将切回到域名所在的源站服务器,不再通过WAF转发。

透明接入后,源站可以获取客户端的真实IP吗?

可以。WAF会向域名所在的服务器直接提供真实的客户端IP,而不再将WAF的回源IP地址返回给源站服务器。

端口绑定的证书更新后,是否需要将证书重新上传到WAF透明接入模块中?

不同类型的源站实例所需操作不同,具体说明如下:

  • 源站实例为ALB类型七层SLB类型:不需要在WAF透明接入模块重新上传证书。您只需在负载均衡实例中更新证书,WAF透明接入模块会自动同步最新的证书。

    重要

    如果对应的负载均衡实例关联有过期证书,则WAF侧无法同步最新证书,需要将过期证书删除后再同步最新证书。

  • 源站实例为四层SLB类型ECS类型:需要在WAF透明接入模块重新上传证书。

同一个域名如果配置到了多个SLB实例上,我需要如何完成透明接入?

这种情况下,您需要在对该域名进行透明接入配置时,同时添加这几个SLB实例的HTTP/HTTPS服务端口,实现WAF对这几个实例同时引流。

如果配置透明接入时,您仅添加了其中一个SLB实例的HTTP/HTTPS服务端口,WAF将仅转发来自该端口的访问流量并对其进行防护。来自其他SLB实例的流量将不会通过WAF转发和受到WAF的防护。

一个SLB实例配置了多个域名,如果我只对其中一个域名完成了透明接入,会有什么影响?

这种情况下,该SLB实例上其他域名也受到WAF默认防护策略(包括规则防护引擎、CC安全防护)的防护。WAF如果检测到这些域名有攻击流量,也会对攻击流量进行拦截。

重要

透明接入模式下,接入WAF防护的流量只与服务器(ECS、SLB、ALB实例)的引流端口配置有关。如果您的SLB实例上配置了多个域名,且这些域名都是通过同一个端口(假设为HTTPS的443端口)提供服务,则您为其中一个域名开启透明接入时,需要将SLB实例的443端口配置为引流端口,该操作会使443端口上所有流量(包含其他域名的流量)都接入到WAF进行防护。更多信息,请参见透明接入

透明接入时为什么看不到我需要接入的七层SLB实例?

透明接入存在一定的限制条件。具体内容,请参见透明接入

使用透明接入模式将SLB接入到WAF时,如果您在添加域名页面七层SLB类型列表中,无法看到您需要接入的SLB公网实例或者无法成功接入WAF,可能原因有以下几点:

原因

说明

解决方法

公网SLB实例所在的地域不在透明接入支持的范围内。

目前,仅支持位于如下地域的公网SLB实例和ECS实例:西南1(成都)、华北2(北京)、华北3(张家口)、华东1(杭州)、华东2(上海)、华南1(深圳)、中国(香港)、马来西亚(吉隆坡)、印度尼西亚(雅加达)地域的公网SLB实例使用透明接入模式。

  • 如果您的公网SLB实例和ECS实例地域位于西南1(成都)、华北2(北京)、华北3(张家口)、华东1(杭州)、华东2(上海)、华南1(深圳),那么接入地域为中国内地的WAF实例。

  • 如果您的公网SLB实例和ECS实例地域位于中国(香港)、马来西亚(吉隆坡)、印度尼西亚(雅加达),那么接入地域为非中国内地的WAF实例。

公网SLB实例绑定的公网IP是IPv6版本。

透明接入不支持IPv6版本的公网SLB实例。

使用IPv4版本的公网SLB实例接入WAF。

公网SLB实例中未配置监听协议。

未添加监听端口的SLB实例将无法使用透明接入。

在SLB实例控制台为SLB实例添加监听端口。

原有的公网SLB实例位于历史网络架构中的经典网络。

目前,仅支持已完成公网上移网络改造的SLB接入WAF。如果您的SLB满足其他条件但未出现透明接入列表中,可能是由于您当前的SLB未完成公网上移改造。

使用私网SLB+EIP的网络结构的SLB实例或新购公网SLB实例(新购买的公网SLB实例不存在历史网络架构中的问题)接入WAF。

透明接入时,需要配置的公网SLB实例(七层)端口使用的证书未上传到阿里云数字证书管理服务控制台进行统一管理。

公网SLB实例(七层)接入WAF时,需要配置的端口如果为HTTPS协议,但是该端口使用的证书未上传到阿里云SSL证书服务中,会导致SLB无法将该证书自动同步到WAF中,您将无法完成网站接入。

将该公网SLB实例(七层)HTTPS端口使用的证书上传到数字证书管理服务控制台

透明接入时,需要配置的公网SLB实例端口开启了双向认证。

如果当前HTTPS协议在公网SLB中采用了双向认证,则暂时不支持透明接入。

需要在SLB控制台取消双向认证选项后,重新在Web应用防火墙控制台执行透明接入。

需要执行透明接入的公网SLB是新购的SLB实例。

新购买的SLB实例存在有一定的数据延迟,您可能在透明接入页面暂时无法看到新购买的SLB实例。

完成SLB购买后,建议您等待1~3分钟,再刷新Web应用防火墙控制台后执行透明接入。

透明接入时,需要配置的公网SLB实例端口不在当前WAF版本支持的范围内。

WAF包年包月服务的高级版、企业版、旗舰版支持透明接入模式。如果需要配置的公网SLB实例端口不在当前WAF版本支持的范围内,您在添加域名页面七层SLB类型列表中,添加该端口时将无法保存,从而导致无法将该公网SLB实例成功接入WAF。

使用当前WAF版本支持的端口。

说明

透明接入模式下,不同版本支持接入的端口不同。旗舰版支持任意非标端口接入;关于其他版本支持的端口范围,可以在七层SLB类型右上角单击查看可选范围获取。

已接入透明WAF的ECS实例,进行了可用区变更。

在ECS创建了迁移任务,变更了可用区,导致透明引流失效。

在 Web 应用程序防火墙控制台中重新开启引流。更多详情,请参见步骤二:查看和管理引流端口

我使用的是私网SLB+EIP,是否支持透明接入?

支持。