提示
X
本案例来自tskb,请前往tskb修改源内容:立即前往
'>

【WAF】云WAF代理业务访问502 Bad Gateway

|

问题描述

云WAF配置反向代理,业务访问出现 502 Bad Gateway

告警信息

有效排查步骤

1、检测WAF站点配置,配置信息无误,但是健康检查状态提示异常

2、检测WAF与服务器端口通讯,端口通讯并无异常

3、直接访问服务器IP端口,业务打开正常

4、进一步检测配置、发现健康检测检测方式为https
进一步确认之后,客户业务https检测被禁止,且协议非SSLv3

5、将健康检查修改为TCP方式之后,监听状态正常,业务访问正常

根因

WAF配置了服务器不支持的健康检查方式,从而健康检查状态异常,导致WAF认为后端服务器异常,不转发至该后端服务器由于后端服务器只配置一台,故业务访问异常提示502

解决方案

修改健康检查方式为TCP正常

建议与总结

返回502 Bad Gateway原因一般为两种:
一、WAF与服务器之间健康检查通信异常
二、WAF与服务器之间服务器返回无效的响应

WAF健康检查方式一共三种,配置站点配置时,HTTP服务默认为HTTP方式检查/HTTPS服务默认为HTTPS方式检查,检查区别如下
1、TCP健康检查。
是对目标地址进行健康检查使用的其中一种网络协议。TCP协议监控,主要是监控IP地址的网络可达性、端口可用性、延时等指标,当监控IP地址出现异常时,WAF不转发至该节点IP,当IP地址端口通讯恢复正常时,正常转发。
2、HTTP/HTTPS健康检查。
对目标IP地址使用HTTP(s)协议web服务器的端口是否可以正常工作,http服务默认监控80端口、HTTP(s)服务默认监控443端口,也可以根据需要自定义需要监控的web服务器端口号。
注意:当选择HTTP(s)协议检查时,需要配置对应URL的请求方式以及检查的状态码,且https仅支持SSLv3协议类型。在不清楚客户网站业务情况时建议使用TCP检查服务器节点端口通讯

注意:当业务请求被WAF代理发送给服务器后,服务器返回无效响应时,同样会出现502,在确认配置无误的前提下,可进入后台抓包确认是否是服务器问题。(502状态码以及其他状态码原因可多百度学习)
PS:
后台进入方法参考典型场景_云WAF进入后台方法
镜像包部署的WAF时,后台抓包方法:
使用镜像部署WAF时,宿主无tcpdump抓包工具,安装方法如下
1、登陆WAF宿主机后台,进入/etc/yum.repos.d目录 备份如下两个yum源  CentOS-Base.repo/Docker-ce.repo
cd /etc/yum.repos.d
cp CentOS-Base.repo /root/CentOS-Base.repo
cp docker-ce.repo /root/docker-ce.repo
2、删除此yum源
rm CentOS-Base.repo
rm docker-ce.repo
3、获取阿里云yum源
4、清除yum缓存并重新生成
yum clean all && yum makecache
5、安装tcpdump
yum -y install tcpdump

我要分享
文档编号: 243947
作者: admin
更新时间: 2023-04-10 23:32
适用版本: