云WAF配置反向代理，业务访问出现403 Forbidden | WAF 403.png (86.94 KB)   1、检测云WAF站点防护配置 检测配置：站点健康检查监听后端服务器通讯正常 防护域名/服务类型/监听端口/转发服务器 403_1.png (78.95 KB)   403_3.png (92.64 KB)   防护域名：请求Request URL 匹配的域名（支持通配符、hostIP、域名） 服务类型：网站协议服务类型（WAF只支持代理HTTP/HTTPS） 监听端口：WAF对外开放的监听端口 转发服务器：后端真实服务器服务类型/IP/端口   2、进一步确认访问请求 发现请求URL （sangfor2.com）不在站点配置中的防护域名中 导致请求数据到达WAF之后，未匹配上所配置的域名，导致请求被禁止 403_21.png (96.95 KB)   3、将配置修改添加完整之后访问正常 403_22.png (92.87 KB)   403_31.png (195.74 KB)     WAF配置问题、防护域名（即代理域名）未配置全、客户业务访问域名有多个sangfor1.com/sangfor2.com 修改站点配置解决 无 在配置站点防护时，请多了解客户业务，有时候客户门户网站中某个链接或者模块可能存在多个URL，需将防护域名配置全

云WAF配置反向代理，业务访问出现 502 Bad Gateway 502.png (34.9 KB)   1、检测WAF站点配置，配置信息无误，但是健康检查状态提示异常 502_11.png (91.73 KB)   502_12.png (93.25 KB)   2、检测WAF与服务器端口通讯，端口通讯并无异常 502_1.png (59.04 KB)   3、直接访问服务器IP端口，业务打开正常 502_31.png (436.35 KB)   4、进一步检测配置、发现健康检测检测方式为https 进一步确认之后，客户业务https检测被禁止，且协议非SSLv3 502_51.png (111.68 KB)   5、将健康检查修改为TCP方式之后，监听状态正常，业务访问正常 502_42.png (107.9 KB)   502_62.png (74.48 KB)   502_61.png (466.85 KB)     WAF配置了服务器不支持的健康检查方式，从而健康检查状态异常，导致WAF认为后端服务器异常，不转发至该后端服务器由于后端服务器只配置一台，故业务访问异常提示502 修改健康检查方式为TCP正常 返回502 Bad Gateway原因一般为两种： 一、WAF与服务器之间健康检查通信异常 二、WAF与服务器之间服务器返回无效的响应 WAF健康检查方式一共三种，配置站点配置时，HTTP服务默认为HTTP方式检查/HTTPS服务默认为HTTPS方式检查，检查区别如下 1、TCP健康检查。是对目标地址进行健康检查使用的其中一种网络协议。TCP协议监控，主要是监控IP地址的网络可达性、端口可用性、延时等指标，当监控IP地址出现异常时，WAF不转发至该节点IP，当IP地址端口通讯恢复正常时，正常转发。2、HTTP/HTTPS健康检查。对目标IP地址使用HTTP（s）协议web服务器的端口是否可以正常工作，http服务默认监控80端口、HTTP（s）服务默认监控443端口，也可以根据需要自定义需要监控的web服务器端口号。注意：当选择HTTP（s）协议检查时，需要配置对应URL的请求方式以及检查的状态码，且https仅支持SSLv3协议类型。在不清楚客户网站业务情况时建议使用TCP检查服务器节点端口通讯   注意：当业务请求被WAF代理发送给服务器后，服务器返回无效响应时，同样会出现502，在确认配置无误的前提下，可进入后台抓包确认是否是服务器问题。（502状态码以及其他状态码原因可多百度学习） PS： 后台进入方法参考典型场景_云WAF进入后台方法 镜像包部署的WAF时，后台抓包方法： 使用镜像部署WAF时，宿主无tcpdump抓包工具，安装方法如下 1、登陆WAF宿主机后台，进入/etc/yum.repos.d目录 备份如下两个yum源  CentOS-Base.repo/Docker-ce.repo cd /etc/yum.repos.d cp CentOS-Base.repo /root/CentOS-Base.repo cp docker-ce.repo /root/docker-ce.repo 2、删除此yum源 rm CentOS-Base.repo rm docker-ce.repo 3、获取阿里云yum源 wget -O Centos-Base.repo http://mirrors.aliyun.com/repo/Centos-7.repo 4、清除yum缓存并重新生成 yum clean all && yum makecache 5、安装tcpdump yum -y install tcpdump

云waf配置了https反向代理后，直接访问域名回车，无法跳转到业务，需要在域名前面加https://才能跳转到业务。配置策略之前是正常的 直接访问域名无法打开业务 1、检查反向代理配置，发现只配置了一条443的代理策略 2、分析原始访问服务器的80端口时，是由服务器返回302跳转到服务器的443端口的，沟通客户新增一条80端口http协议反向代理策略 3、配置完成之后，跳转正常：   直接回车的80端口没有做反向代理，导致服务器没法返回重定向到443的报文； 针对默认回车的80端口也做反向代理，让客户端和服务器可以交互80端口的 注意：需要配置80http协议的前置策略和节点池：