問(wèn)題

現(xiàn)象

原因

解決方案

410網(wǎng)站暫時(shí)無(wú)法訪問(wèn)

出現(xiàn)410網(wǎng)站暫時(shí)無(wú)法訪問(wèn)頁(yè)面，并提示該域名對(duì)應(yīng)的協(xié)議和端口未接入WAF；或者HTTP返回碼為410。

沒(méi)有在WAF上配置相關(guān)域名，或者沒(méi)有配置相關(guān)端口。例如僅在WAF上配置了服務(wù)器端口為80，但用戶訪問(wèn)了443端口，此時(shí)WAF會(huì)返回410頁(yè)面。

在控制臺(tái)添加相關(guān)域名或端口。具體操作，請(qǐng)參見(jiàn)添加域名。

405訪問(wèn)阻斷

出現(xiàn)405阻斷頁(yè)面或者HTTP返回碼為405。

請(qǐng)求被自定義防護(hù)策略或者正則防護(hù)引擎阻斷。

1. 為域名關(guān)閉自定義防護(hù)策略（具體操作請(qǐng)參見(jiàn)設(shè)置自定義防護(hù)策略），查看是否還有405頁(yè)面。

   如果不再出現(xiàn)，說(shuō)明您所配置的自定義防護(hù)規(guī)則誤攔截了請(qǐng)求，需要您找到對(duì)應(yīng)規(guī)則并將其刪除。

2. 如果關(guān)閉自定義防護(hù)策略開(kāi)關(guān)后問(wèn)題仍然存在，您可以為域名關(guān)閉正則防護(hù)引擎（具體操作請(qǐng)參見(jiàn)設(shè)置規(guī)則防護(hù)引擎），查看問(wèn)題是否仍然存在。

   如果問(wèn)題消失，建議您將正則防護(hù)引擎的防護(hù)規(guī)則組設(shè)置為寬松規(guī)則組（默認(rèn)為中等規(guī)則組），或者您可以通過(guò)日志服務(wù)分析有問(wèn)題的URL，并添加一條自定義防護(hù)策略（具體操作請(qǐng)參見(jiàn)設(shè)置自定義防護(hù)策略），放行訪問(wèn)該URL的請(qǐng)求。

302連接重置

某些IP在訪問(wèn)網(wǎng)站時(shí)顯示連接被重置，HTTP返回碼為302，且在請(qǐng)求頭獲得Set-Cookie。

IP訪問(wèn)觸發(fā)了CC防御規(guī)則。

為域名關(guān)閉CC安全防護(hù)（具體操作請(qǐng)參見(jiàn)設(shè)置CC安全防護(hù)），查看問(wèn)題是否仍然存在。

如果關(guān)閉防護(hù)后訪問(wèn)恢復(fù)正常，說(shuō)明是CC防護(hù)規(guī)則誤攔截，建議您將CC安全防護(hù)的模式設(shè)置為防護(hù)（如果本來(lái)就是防護(hù)模式，請(qǐng)忽略），或者您可以通過(guò)日志服務(wù)分析有問(wèn)題的URL，并添加一條自定義防護(hù)策略（具體操作請(qǐng)參見(jiàn)設(shè)置自定義防護(hù)策略），放行訪問(wèn)該URL的請(qǐng)求。

HTTPS訪問(wèn)異常

客戶端的HTTPS請(qǐng)求返回證書(shū)為www.notexist.com。

Web應(yīng)用防火墻需要瀏覽器支持SNI，而客戶端的瀏覽器可能不支持SNI。

一般蘋(píng)果系統(tǒng)默認(rèn)支持SNI，而Windows、Android系統(tǒng)需要做SNI兼容，具體請(qǐng)參見(jiàn)SNI兼容性導(dǎo)致HTTPS訪問(wèn)異常（服務(wù)器證書(shū)不可信）。

502訪問(wèn)白屏

網(wǎng)站顯示白屏，同時(shí)HTTP返回碼為502。

當(dāng)源站（指ECS、SLB或服務(wù)器）出現(xiàn)丟包或者不可達(dá)的時(shí)候，Web應(yīng)用防火墻會(huì)返回白屏。

1. 檢查源站是否有黑名單、iptables、防火墻、安全狗、云鎖等安全軟件或策略。如果有，停用或卸載相關(guān)服務(wù)并清空黑名單、放行WAF回源IP（參見(jiàn)放行WAF回源IP段），查看問(wèn)題是否消失。

2. 繞過(guò)WAF測(cè)試訪問(wèn)（參見(jiàn)檢查是否為源站問(wèn)題），檢查是否正常。

   • 如果問(wèn)題復(fù)現(xiàn)，說(shuō)明可能是源站服務(wù)器的響應(yīng)異常，建議您及時(shí)檢查源站服務(wù)器的工作狀態(tài)（例如進(jìn)程、CPU、內(nèi)存、Web日志等）是否有異常并修復(fù)異常。

   • 如果問(wèn)題沒(méi)有復(fù)現(xiàn)，說(shuō)明不是源站服務(wù)器的響應(yīng)異常。請(qǐng)根據(jù)405訪問(wèn)阻斷問(wèn)題，排查網(wǎng)站是否被WAF誤攔截。

504網(wǎng)關(guān)超時(shí)

網(wǎng)站顯示網(wǎng)關(guān)超時(shí)，同時(shí)HTTP返回碼為504。

• 當(dāng)源站業(yè)務(wù)量增加時(shí)，可能會(huì)因后端服務(wù)器性能問(wèn)題導(dǎo)致504錯(cuò)誤。

• 長(zhǎng)連接超時(shí)問(wèn)題。

• 后端服務(wù)器性能問(wèn)題：請(qǐng)檢查后端服務(wù)器是否存在性能問(wèn)題，如連接數(shù)、CPU內(nèi)存占用過(guò)大等也會(huì)出現(xiàn)504錯(cuò)誤。

• 長(zhǎng)連接超時(shí)問(wèn)題：請(qǐng)檢查客戶端與服務(wù)器之間是否存在長(zhǎng)連接超時(shí)的情況，具體操作，請(qǐng)參見(jiàn)長(zhǎng)連接超時(shí)問(wèn)題。

域名ping不通

域名ping不通，且收到短信提示，WAF受DDoS攻擊，進(jìn)入了黑洞。

DDoS流量攻擊不在Web應(yīng)用防火墻的防護(hù)范圍內(nèi)。

開(kāi)通DDoS防護(hù)服務(wù)，抵御DDoS攻擊。更多信息，請(qǐng)參見(jiàn)阿里云DDoS防護(hù)方案對(duì)比。

服務(wù)器負(fù)載不均

后端多臺(tái)服務(wù)器負(fù)載不均。

Web防火墻使用四層IP哈希。因此，當(dāng)DDoS高防串聯(lián)Web應(yīng)用防火墻或SLB使用四層轉(zhuǎn)發(fā)時(shí)，ECS可能出現(xiàn)負(fù)載不均。

Web應(yīng)用防火墻和ECS直接使用SLB負(fù)載均衡，即使用7層轉(zhuǎn)發(fā)，并打開(kāi)Cookie會(huì)話保持或負(fù)載均衡。

微信或支付寶回調(diào)失敗

微信或支付寶回調(diào)失敗。

可能是高頻訪問(wèn)被CC防護(hù)規(guī)則攔截，或者使用了HTTPS方式回調(diào)，且微信和支付寶不支持SNI。

• CC安全防護(hù)問(wèn)題：

  1. 為域名關(guān)閉CC安全防護(hù)（具體操作請(qǐng)參見(jiàn)設(shè)置CC安全防護(hù)），查看問(wèn)題是否仍然存在。

  2. 如果關(guān)閉防護(hù)后恢復(fù)正常，說(shuō)明是CC防護(hù)規(guī)則誤攔截，建議您將CC安全防護(hù)的模式設(shè)置為防護(hù)（如果本來(lái)就是防護(hù)模式，請(qǐng)忽略），或者您可以通過(guò)日志服務(wù)分析有問(wèn)題的URL，并添加一條自定義防護(hù)策略（具體操作請(qǐng)參見(jiàn)設(shè)置自定義防護(hù)策略），放行訪問(wèn)該URL的請(qǐng)求。

• SNI問(wèn)題：設(shè)置讓微信或支付寶直接調(diào)用ECS或者SLB IP，不要經(jīng)過(guò)Web應(yīng)用防火墻。更多信息，請(qǐng)參見(jiàn)SNI兼容性導(dǎo)致HTTPS訪問(wèn)異常（服務(wù)器證書(shū)不可信）。