https证书出错了怎么办?
1确认已勾选HTTPS并上传证书
使用WAF防护HTTPS业务时,必须在WAF控制台上勾选HTTPS,并且上传与服务器完全一样的证书/密钥。即使WAF与高防、SLB、CDN等其他产品一起使用时,也要在WAF上传证书/密钥。WAF的证书是独立于其他产品。
在控制台上传证书成功后,可能需要最多5分钟的时间使配置完全生效,在此期间可能出现访问异常的现象。您可以绑定hosts,确保配置已经生效之后,再将DNS解析切换过来。
2确认证书链完整(常见错误)
多数情况下,SSL证书服务商会提供给你多个证书(其中包含服务器的证书以及一个或多个CA根证书),这些证书组合成一个完整的证书链。确保在WAF中上传了完整的证书链而不是只有部分证书。请将多个证书文本内容联合到一起,并确保服务器证书在上面,根证书在下面。
如果证书链不完整,可能会出现打开页面提示证书不可信,某些安卓手机、操作系统或App访问报错、异常等情况(可能部分环境下访问是正常的)。
3需要HTTP跳转的业务也要勾选HTTP
如果在源站服务器做了访问HTTP强制跳转到HTTPS的设置,则必须在WAF上勾选HTTP和HTTPS。否则,HTTP请求到了WAF后,无法正常转发回源站,也会报错。
一、为啥隐藏真实 IP?
为什么这么说?这就得从“暴露真实IP会造成什么不好的后果”这个问题说起。
1、源IP暴露,不法者会通过DDOS、CC攻击你服务器,如果没有用高防服务器,一打就挂。
2、杜绝了网络上那些到处扫描端口、扫描漏洞、被人入侵,爆库等等危险的行为发生。举例:
在很久一段时间之前的某个晚上,本人的手机和邮箱连续收到多个RAKsmart的警告通知,最后直接把我关小黑屋了。只要你ecs在的机房有用户暴露ip被人盯上了,整个机房网段都别想安宁了,ntp攻击直接机房入口给你堵上,然后直接算到你ddos头上,哪怕你服务器彻底关了都没用,只能重买新的换ip然后释放掉现有的
至于被谁打的,谁又知道呢。
看到这儿,或许你就不耐烦了,说这些跟IP暴露不暴露有什么关系?我想说的是,当然有关系。
二、如何隐藏真实 IP?
我们都知道,使用诸如RAKsmart、Aquanx的CDN等等的目的一是为了缓解自身服务器的带宽压力,增加访问速度,再一个就是为了防止别人恶意的DDOS攻击。这是因为,使用了CDN后,正常的请求过程为:
用户请求 –> CDN节点 –> 源站服务器
也就是说,CDN作为中间层已经将我们网站的请求,分配到了各个分布式大带宽的节点上,这就保证了我们的网站能免受一些小流量的ddos攻击。如何你的网站上没有使用cdn或其他反向代理的工具,那么接收一个请求则是最简单的一个过程:
用户请求 –> hosts解析 –> 源站服务器
这时候的请求是直接作用到源站服务器上的,如果此时从某个地方对我们的服务器发动ddos攻击的话,所有的流量都会瞬间直达我们的服务器上,试想一下,如果我们的服务器配置不高的话,那会是一种什么下场。
使用CDN技术隐藏真实IP也是有所不足的,在服务器上发布的内容无法及时的进行更新,CDN是存在地区限制的。例如只是做了国内的CDN,而没有做海外的CDN,这样坏蛋使用美国服务器的IP,在使用某些工具ping
的域名或其它地址那么亲们的服务器真实IP真实就出现在坏蛋面前了。
目前,RAKsmart推出了“CC防御”,只要购买高防即可获得CC防御资格,感兴趣的朋友可以了解一下“raksmart10月钜惠”活动。
正常情况下,客户端请求访问高防IP,高防IP服务收到请求后把真实客户端的源IP转换成高防的回源IP(把真实客户端IP放在HTTP头部的X-Forwarded-For字段中)发送给源站。但是,如果源站IP暴露,客户端可以直接请求访问源站,这样就绕过了高防IP服务提供的防护。
2、为什么会被拦截或限速
没有配置高防IP代理时,在源站看来真实客户端地址是非常分散的。正常情况下,每个源IP的请求量都不大。而配置高防IP服务后,高防回源的IP段固定且有限。因此,在源站看来所有的访问请求都来自高防回源IP段,分摊到每个回源IP上的请求量也会变大,导致源站可能误认为高防回源IP在对源站进行攻击。此时,源站如果有防御DDoS的安全策略,很可能会将回源IP拦截或者限速。
3、回源IP被拦截如何解决
根据上述原理,只要在源站放行所有的高防回源IP,即可解决出现的502错误。设置源站放行高防回源IP方法有两种:
方法一:参考 如何查看高防回源IP段 获取高防回源IP,然后在您源站的防火墙、主机安全防护软件(如安全狗)中,将高防回源IP网段添加到白名单。
方法二:直接关闭源站的防火墙及主机安全防护软件。
二、源站本身出现异常,导致响应高防的请求超时
源站本身异常包括以下情形:
源站IP暴露,被恶意攻击导致瘫痪。
源站服务器机房物理故障。
源站服务器中 Apache、Nginx 等Web程序出现问题。
服务器内存、CPU 占用过高,导致性能骤降。
源站上行链路拥挤阻塞。
判断方法
修改本机 hosts 文件,将域名直接指向源站IP。如果直接通过源站IP也不能访问,同时伴随 ping 源站IP丢包、telnet超时等现象,可判断为是此类原因导致。
参照以下步骤进行排查:
1、查看源站流量、请求量是否有大量增长,同时对比高防IP管理控制台中的监控。如果源站遭到大流量攻击,但高防IP管理控制台显示无异常,则有可能是攻击绕过高防IP直接攻击源站。这种情况,建议您尽快更换源站IP。
2、排除遭受攻击的原因后,可查看源站服务器的进程状态、CPU/内存占用情况、机房带宽的监控情况等。如有异常,建议您联系服务器相关技术人员或机房人员协助排查解决。
3、如果是个别客户端出现502错误,建议您收集客户端的IP和出现异常的时间点,并向服务器提供商售后技术支持进行反映协助排查。
如果云盾无法连接您网站的源服务器,用户访问您的网站时,将会看到一个如下图的错误信息。这个错误信息可能由下面两个原因造成:
一、原始服务器或服务器所在机房发生故障,可以修改本地hosts将网站指向源服务器,测试是否正常;
二、原始服务器和机房均工作正常,但是服务供应商或服务器设置了防火墙过滤规则,使得云盾无法访问原始服务器;
1、确保没有在htaccess文件、iptables或防火墙限制云盾访问的网站;
2、确保服务供应商没有限制云盾访问原始服务器的请求;请将云盾的IP加入服务器和机房白名单中,防止云盾服务被误认为攻击而屏蔽IP。
0条评论