误拦截正常请求
不少人在配置Web应用防火墙(WAF)后,发现用户登录失败或表单提交被阻止。这种情况通常是因为规则过于严格,比如将POST请求中的某些参数误判为SQL注入攻击。例如,用户在填写地址时输入了“123' OR '1”,系统就可能触发防护规则。
可以先查看WAF日志,确认是哪条规则导致的拦截。以常见的ModSecurity为例,可以在日志中找到类似以下记录:
[client 192.168.1.100] [severity \"CRITICAL\"] [msg \"SQL Injection Attack Detected\"] [rule_id \"942100\"]如果发现该规则频繁误报,可临时禁用或调整其敏感度。修改配置文件中的SecRuleEngine设置为DetectionOnly模式,先观察不阻断:
SecRuleEngine DetectionOnly静态资源被错误防护
有时网站的CSS、JS文件加载失败,页面变得混乱。这可能是由于WAF对静态路径也启用了严格检查。比如规则对所有/assets/下的请求做了文件类型限制。
解决方法是在配置中排除静态目录。在Apache环境下,可通过<LocationMatch>排除特定路径:
<LocationMatch \"^/assets/.*\\.(css|js|png)$\">
SecRuleEngine Off
</LocationMatch>Nginx + lua-waf这类方案则可在逻辑中加入白名单判断:
if string.match(uri, ".*\.(css|js|jpg)$") then
return true
endHTTPS流量无法正常解析
部署WAF后,如果网站启用HTTPS,但WAF未正确配置SSL证书,会导致反向代理失败。用户访问时出现502错误,后台日志显示SSL handshake failed。
确保WAF所在服务器能解密HTTPS流量。若使用Nginx作为前端代理,需在配置中加载证书并开启SSL终止:
server {
listen 443 ssl;
ssl_certificate /path/to/fullchain.pem;
ssl_certificate_key /path/to/privkey.pem;
server_name example.com;
location / {
proxy_pass http://backend;
}
}这样WAF就能处理明文HTTP流量,同时对外提供安全的HTTPS服务。
规则更新后服务无法启动
手动升级OWASP规则集后,Nginx或Apache启动失败,提示配置语法错误。常见原因是新规则使用了当前引擎不支持的指令,比如ModSecurity 2.x不兼容3.x的Operator syntax。
检查错误日志中的具体行号,定位到出问题的规则文件。例如日志提示:
Syntax error on line 123 of /etc/modsecurity/rules/REQUEST-942-APPLICATION-ATTACK-SQLI.conf打开对应文件,查看是否包含“@validateByteRange”这类旧版本不支持的操作符。解决方案是回退规则版本,或升级ModSecurity核心组件。
高并发下响应变慢
开启WAF后,网站在促销活动期间响应明显延迟。这是因为每条请求都要经过多层规则匹配,消耗大量CPU资源。
优化方向有两个:一是精简规则,关闭不适用的模块,比如国内业务不需要针对PHPMyAdmin的防护;二是启用异步检测,将部分检查移交到独立进程处理。例如在ModSecurity中启用PCRE JIT编译提升正则性能:
SecPcreMatchLimit 150000
SecPcreMatchLimitRecursion 150000同时合理设置连接超时和缓冲区大小,避免因处理延迟引发连锁故障。