关键词：华为云 Web应用防火墙 接入WAF失败 故障排查

网站成功接入WAF后，WAF才能检测并过滤网站的恶意攻击流量，确保网站安全、稳定、可用。

如果网站接入WAF失败了，即WAF管理控制台上网站“接入状态”为“未接入”，该怎么办呢？

不要着急，小课贴心为您奉上WAF接入失败排查宝典，三大步助您快速解决问题，接入WAF不用愁。

• 云模式

  图1 云模式排查思路和处理建议

  

  
  

  可能原因	处理建议
  域名参数配置错误	进入“网站设置”界面，单击防护域名名称，在防护域名详情页面，检查域名参数配置是否正确。 如果域名配置错误，删除该域名后重新添加。 如果服务器配置错误，请单击，修改域名的服务器信息。 建议您参照以下步骤，在本地验证域名是否配置正确。 进入“网站设置”界面，在目标网站所在行的“接入状态”栏，单击，复制域名的CNAME值。 在Windows操作系统中，选择“开始 > 运行”，在弹出框中输入“cmd”，按“Enter”，进入命令提示符窗口。 运行ping 步骤1中获取的CNAME值，例如，ping e59e684e2278043ae98a5423aef8ee329.vip.huaweicloudwaf.com，获取WAF的回源IP。 用记事本或notepad++等文本编辑器打开hosts文件，hosts文件一般位于“C:\Windows\System32\drivers\etc\”路径下。 在hosts文件添加记录：防护域名 域名对应的WAF回源IP。 修改hosts文件后保存，在命令提示符窗口中运行ping 防护域名（例如ping www.example.com）。 如果回显信息中的IP地址为步骤3中的WAF回源IP地址，说明域名参数配置正确。
  未配置域名解析或代理回源地址	确认接入WAF的网站是否使用DDoS高防、CDN、云加速等代理。 是：确保网站的“是否已使用代理”已配置为“是”。 将DDoS高防、CDN等代理回源地址修改为WAF的“CNAME”。 （可选）在DNS服务商处添加一条WAF的“子域名”和“TXT记录”。 否：到该域名的DNS服务商处，配置防护域名的别名解析。
  域名解析或代理回源地址配置错误	请参照以下步骤验证域名的CNAME是否配置成功。 在Windows操作系统中，选择“开始 > 运行”，在弹出框中输入“cmd”，按“Enter”，进入命令提示符窗口。 执行nslookup命令，查询CNAME。 如果回显信息的域名在WAF上的CNAME，则表示配置成功。 以域名www.example.com为例。 nslookup www.example.com 如果CNAME配置失败，请重新修改DNS解析或回源地址。

  
  

• 独享模式

  图1 独享模式排查思路和处理建议

  

  
  

  可能原因	处理建议
  域名/IP参数配置错误	进入“网站设置”界面，单击防护网站名称，在防护网站详情页面，检查域名/IP参数配置是否正确。 如果域名/IP配置错误，删除该域名/IP后重新添加。 如果服务器配置错误，请单击，修改域名/IP的服务器信息。
  未配置负载均衡，或负载均衡未配置EIP 负载均衡配置错误或负载均衡绑定EIP错误	未配置负载均衡，或负载均衡未配置EIP 为独享引擎实例配置负载均衡。 为弹性负载均衡绑定弹性公网IP。 负载均衡配置错误或负载均衡绑定弹性公网IP错误 配置负载均衡后，当WAF独享引擎实例的“健康检查结果”为“正常”时，说明弹性负载均衡配置成功。 为弹性负载均衡绑定弹性公网IP后，可以查看绑定的弹性公网IP，说明绑定成功。
  域名/IP未在工信部备案	参照备案流程在工信部备案后，再重新添加防护网站。

更多关于WAF问题解决方法，戳这里进行了解吧~~

安全无小事，时刻需警惕。2021，华为云普惠云安全，为您的网站、主机、数据提供免费云体检，还有一站式过等保贴心指导，赶紧戳这里，了解详情吧！