当配置多个源站时,如何负载?
如果您配置了多个源站IP地址,WAF支持使用轮询、IP Hash的方式对访问请求进行负载均衡。您可以根据需要自定义负载均衡算法。
| 负载方式 | 原理说明 | 适用场景 |
|---|---|---|
| 轮询算法 | 按照顺序将请求依次分发到服务器列表中的各个服务器上。 当新的请求到来时,轮询算法会依次将请求分发给下一个服务器,直到所有服务器都接收到了相同数量的请求,然后再次从第一个服务器开始,保证每台服务器都能平均分担负载。 | 轮询算法简单公平,适用于大多数情况。 |
| IP Hash | 根据客户端的IP地址计算出一个哈希值,然后使用该哈希值来确定请求应该转发到服务器列表中的哪一台服务器上。 这样可以保证同一个客户端的请求始终被转发到同一台服务器上,从而实现会话保持。 | IP哈希算法适用于需要保持会话的场景。 |
如何通过WAF实现HTTPS访问?
在添加网站域名时,需选择HTTPS协议及端口,这样用户即可通过HTTPS协议发送访问请求。
当您的网站不支持HTTPS回源时,您务必要选择HTTP回源选项,这样WAF将会通过HTTP 80端口将请求转发给源站。这样您可在无需改动源站服务器的前提下,通过WAF实现HTTPS访问,帮助您降低网站的负载损耗。
注意
- 用户可以选择HTTP回源方式,HTTP回源表示WAF使用HTTP协议向源站转发回源请求,默认回源端口是80。开启HTTP回源可以在无需改动源站服务器的前提下,通过WAF实现HTTPS访问,帮助您降低网站的负载损耗。
- 也可以选择HTTPS回源,选择HTTPS回源默认回源端口是443,开启HTTPS回源需要上传业务系统证书才能实现回源。
如何强制客户端使用HTTPS请求访问网站?
当您想要提高网站访问的安全性,可以开启HTTPS强制跳转功能,此时所有客户端的HTTP请求都将强制转换为HTTPS请求,并默认跳转至443端口,详情请参见将网站接入WAF防护(域名接入)、将网站接入WAF防护( 独享型接入)。
WAF原生版是否支持HTTP 2.0协议?
WAF原生版暂不支持HTTP 2.0协议。
网站接入WAF防护时,源站IP可以填写云主机的内网IP吗?
域名接入
源站IP不可以填写云主机的内网IP。
域名接入采用CNAME的方式将原本去向网站的请求转向的WAF,从而实现对网站访问的安全防护,这些用户请求将在WAF进行安全检测和过滤后,发送回源站。当前WAF提供的CNAME为公网解析的CNAME,只能解析到公网IP地址,无法解析到内网IP,所以源站IP地址不能填写云主机的内网IP。
注意
在网站接入WAF后,您应确保源站服务器已将WAF的全部回源IP放行(即加入白名单),否则可能会出现网站无法打开或打开极其缓慢等情况。
独享型接入
独享型实例与业务主机部署在同一VPC,源站IP可以填写云主机的内网IP。
WAF原生版是否支持配置多个源站IP?
支持。
回源地址支持IP地址格式和域名(如CNAME)格式。完成接入后,WAF将过滤后的访问请求转发到设置的服务器地址。当前1个域名支持最多配置40个源站IP。
WAF原生版是否支持添加IPv6的源站地址?
支持。
当前WAF原生版支持IPv4/IPv6双栈防护,针对同一域名可以同时提供IPv4和IPv6的流量防护。每填写一个IP地址,按回车进行确认,支持自动识别IPv4和IPv6地址,多个地址之间按照选择的负载方式(轮询或IP Hash)进行负载均衡。
若防护网站在WAF前开启了其他代理服务,WAF原生版是否支持自定义配置客户端IP的判定方式?
支持。
当防护网站在WAF前开启了代理服务,说明WAF收到的业务请求来自其他代理服务转发,而非客户端直接发起,WAF支持进一步配置自定义客户端IP判定策略,保证获取到真实的客户端IP,详情请参见将网站接入WAF防护(域名接入)、将网站接入WAF防护( 独享型接入)。
