全部产品

办公

合作伙伴

智能管理

大数据

通用参考

故障类问题

现象描述

站点接入Web应用防火墙服务后,部分用户访问不了该网站。

排查思路

  1. 排查客户端自身网络问题。
  2. 排查源站问题。
  3. 排查拦截策略。
  4. 排查Web应用防火墙问题。

排查步骤

一、排查客户端自身网络问题

用户自己电脑或手机不能访问互联网不通或DNS解析有问题都会导致无法访问网站,此时,处理步骤如下:
  1. 确认客户端能否访问别的网站,能否ping通DNS服务器;
  2. 在客户端执行nslookup命令解析网站的域名,解析的IP是否是Web应用防火墙的地址。

若客户端能访问其他互联网网站,并且DNS解析正常,说明客户端自身网络正常,进行下一步排查。

二、源站问题

自身网络正常的情况下,客户端不能访问站点可能是因为源站服务器故障或源站出口网络问题导致,此时,处理步骤如下:
  1. 外网客户端直接访问源站IP,或修改Hosts配置文件将域名指向源站地址进行访问,确认源站是否正常,内网用户通过内部访问查看源站服务器是否正常。
  2. 若内外网用户均访问不了,可能是网站服务器宕机;若仅内网可以访问,则可能源站出口的安全设备或网络设备问题。

若确认网站本身没有故障,则进行下一步策略拦截排查。

三、策略拦截

互联网用户访问不了源站,内网用户正常访问,或互联网用户直接访问源站正常,通过Web应用防火墙不能访问,HTTP状态码为502或504。

原因如下:
  • 源站本地网络设备没有放行互联网用户对内网的访问请求。
  • 安全设备策略拦截,未将Web应用防火墙回源IP加入白名单导致Web应用防火墙访问被拦截或封锁拉黑。
需要判断是出口网络问题还是出口安全设备问题,具体处理步骤如下:
  1. 直接访问源站IP异常,或修改hosts将域名指向源站异常,排查源站出口网络是否故障,或安全设备拦截所有互联网用户访问。
  2. 若直接访问源站正常,经过Web应用防火墙访问异常,首先定位是否是本地安全设备没有将Web应用防火墙回源IP加入白名单,如果不加白导致回源IP被拦截封锁会出现经Web应用防火墙访问不了的问题。

四、Web应用防火墙问题

站点接入Web应用防火墙后,互联网用户访问首先到达Web应用防火墙,Web应用防火墙反向代理访问源站。Web应用防火墙本身策略拦截、到源站网络不通、访问被源站拦截都会导致访问异常。

需要获取用户访问异常的截图进行针对性排查:
  1. 显示403界面
    访问网站提示被拦截,首先要判断访问是不是存在攻击或扫描行为,若存在攻击被拦截是正常的,若确实是正常访问被拦截,可以查看对应的拦截规则进行站点或URL加白,具体方法请参见访问控制
  2. 显示404界面
    404是因为用户访问一个源站不存在的资源,返回这个页面说明已经完成了网站的访问过程网站访问是没问题的,需要排查是不是用户访问的资源地址不对或服务器缺失了数据。
  3. 显示未接入防护界面
    需要排查Web应用防火墙上是否添加了此网站,若未添加或刚添加的此站点,完成添加等5分支左右生效,若添加了站点并且时间超过5分钟过了很久没剩下,需要排查后台。
  4. 显示网站关停界面
    用户访问站点显示升级维护中的页面,请在运营端查看网站是否处于关停状态。
  5. 显示502/504界面
    用户访问网站后,如果源服务器返回异常或长时间未响应时Web应用防火墙会提示502/504页面,告知用户源网站异常了。遇到该情况时,可参考如下思路进行排查定位:
    1. 检查确认网站服务器所在网络链路中所有的安全设备,包括硬件(防火墙、WAF、IPS等)和软件(云锁、阿里云盾等),是否把Web应用防火墙节点IP群添加到白名单。
    2. 测试不过Web应用防火墙,直接访问源站是否正常,通常采用本地绑host方法去测试,如果无法访问则可以判定源站故障。
    3. 如果5XX占比非常小,则将站点从防护模式改为转发模式,配置下发生效后观察现象是否消失,若现象消失则调整站点长短连接配置。
以上内容是否解决了您的问题?
请补全提交信息!
确认 取消
咨询·建议

电话咨询

400-151-8800

邮件咨询

cloud@pingan.com

在线客服

立即咨询

工单支持

解决云产品相关技术问题

提交工单