web应用防火墙-WAF

使用背景

公司要求对外http服务必须使用web应用防火墙，他的功能和优势请查看官方文档

我的需求

1. 能支持泛域名接入
2. 支持https证书管理
3. 支持https 协议回源用httphttp
4. 支持黑白名单 查了一下文档基本上能满足我们的需求，就是有点小贵要支持泛域名的话，需要购买企业版每费用9800/月。

遇到的问题

1. 我们的站点接入了CDN，流量都是先从CDN过来， 由于站点遇到攻击，因此WAF的IP惩罚功能将CDN的回源IP进行了封禁处理，导致站点一段时间不可用 解决方法： 配置域名时，将代理情况修改为是，这样CDN就会通过XFF（X-Forworded-For）获取客户端IP了（但是也增加了伪造ip的风险）；

image.png

1. 域名配置http强制https，由于WAF存在BUG会导致偶发下载配置失败，导致域名访问页出现异常如下：

企业微信截图_cae0898c-8ea5-4435-8d37-0dace9036b92.png

解决方法： 来回重新配置https强制跳转方式，再尝试是否会强制跳转，成功即可。