本文主要介紹Web應(yīng)用防火墻非標端口配置支持。

問題描述

Web應(yīng)用防火墻只支持7層HTTP和HTTPS協(xié)議配置，且后端端口提供有限的支持。WAF的轉(zhuǎn)發(fā)請求為HTTP到后端HTTP，HTTPS到后端HTTPS 。如使用HTTPS請求，而后端源站為HTTP業(yè)務(wù)， 此時WAF無法直接支持。Web應(yīng)用防火墻不支持的用戶場景如下。

?要求WAF上開啟HTTPS強制跳轉(zhuǎn)，但后端業(yè)務(wù)無法支持HTTPS回源。

?后端業(yè)務(wù)使用了WAF不支持的非標端口。 高級版只支持以下端口。

     ?HTTP：80、8080

     ?HTTPS：443、8443

問題原因

業(yè)務(wù)轉(zhuǎn)發(fā)請求不符合WAF的轉(zhuǎn)發(fā)請求，業(yè)務(wù)端口可能不在支持訪問之內(nèi)。
解決方案
1.針對Web應(yīng)用防火墻不支持的方式，可以建議使用負載均衡進行中間轉(zhuǎn)發(fā)， 架構(gòu)如下：WAF -- SLB -- ECS。

2.此時，WAF上正常配置HTTPS業(yè)務(wù)， 端口默認為443， 負載均衡上配置HTTPS監(jiān)聽，前端端口為443，后端端口為業(yè)務(wù)端口即可。

說明 此架構(gòu)要求WAF和SLB均需要上傳對應(yīng)證書，否則無法回源。

阿里云服務(wù)器   阿里云代理商