通过案例解析阿里云waf透明代理在保障业务可用性方面的作用

1. 概述：什么是阿里云 WAF 透明代理及适用场景

1.1 定义：透明代理模式（Transparent Proxy）指 WAF 以旁路或桥接形式接入业务链路，既能进行安全检测又尽量保留客户端真实 IP 信息。
1.2 适用场景：对可用性要求高、需保留真实源 IP 做日志或限流判断的 HTTP/HTTPS 业务，常见于电商、支付、API 网关。

2. 前提准备与架构评估

2.1 检查条件：确认域名已有托管方式（DNS 可改动）、后端服务器公网/内网 IP、SSL 证书信息、运维权限（阿里云账号或 RAM 权限）。
2.2 网络架构选择：评估是“接入层前置（CNAME/负载均衡）”还是“本地透明代理+白名单”，并预留切换回源站的高可用方案。

3. 在阿里云 WAF 控制台上创建域名并选择透明代理模式（详细操作）

3.1 登录控制台：进入阿里云控制台 → 安全 → Web 应用防火墙（WAF）。
3.2 新建域名：点击“域名管理”→“添加域名”，输入目标域名，选择业务类型（网站/API），选择防护策略包。
3.3 部署模式选择：在“接入方式”中选“透明代理/回源直连（视版本命名）”，系统会提示回源配置项；按提示填写后端真实服务器 IP 与端口（可填写多个作为回源组）。

4. 配置回源健康检查、权重与备份策略

4.1 健康检查：在域名设置中打开“回源健康检查”，设置探测路径（如 /health），HTTP 返回码策略（200/204），探测间隔与超时时间。
4.2 回源权重与优先级：为不同真实服务器设置权重，必要时设置备用回源（优先级 2）以发生故障时自动切换。
4.3 生效验证：保存后可在“回源管理”中看到探测结果，等待健康检查达到正常。

5. SSL 证书与会话保持设置（确保可用性与兼容性）

5.1 证书上传：在“证书管理”上传或申请证书（支持阿里云免费证书申请），并绑定到域名的监听端口（80/443）。
5.2 后端协议与会话：配置回源协议（HTTP/HTTPS），若使用 HTTPS，上传后端证书或选择忽略后端证书校验；若应用依赖会话，打开会话保持或基于 Cookie 的粘性会话。
5.3 测试方法：使用 curl -v https://yourdomain 查看 Server 与证书链，检查 X-Forwarded-For 是否返回客户端 IP。

6. 测试、监控与应急流程（保障可用性的关键）

6.1 功能测试：执行并记录以下测试命令：curl -I -H "Host: yourdomain" http://waf-vip 或直接访问域名，检查返回码、响应头（X-Forwarded-For、Via）。
6.2 压力与可用性测试：使用压测工具（如 wrk、ab）在非高峰环境做流量灌入，验证健康探测触发与自动切换；观察错误率与回源切换时间。
6.3 监控告警：在阿里云云监控或 WAF 控制台配置指标告警（访问异常率、回源失败数、延迟），并设置告警接收人和自动化脚本（例如通过 Function Compute 执行 DNS 回滚或触发流量旁路）。
6.4 应急旁路：准备“回源直通”或“DNS 回退”流程：在控制台或 DNS 管理平台将域名指回源站或降低 TTL 并变更解析，记录回滚步骤与责任人。

7. 优化建议与运维日常（小技巧）

7.1 日志与溯源：开启 WAF 访问日志并落地到 OSS 或 Log Service，建立日志解析规则，保留 X-Forwarded-For 字段用于追溯。
7.2 规则调优：逐步从宽到严调整防护规则（请求体大小限制、CC、防爬虫白名单），避免误杀导致可用性下降。
7.3 自动化：利用 Terraform 或阿里云 OpenAPI 编排 WAF 域名/规则的版本化与回滚，配合监控触发自动化操作。

8. 问：WAF 透明代理会影响原始客户端 IP 的获取吗？

8.1 答：不会（通常）。在透明代理模式下，WAF 会尽量保留客户端真实 IP 并把它放在 X-Forwarded-For、Client-IP 等头部；如果后端需要直接获取源 IP，确认后端应用读取这些头部并在 WAF 配置中开启“透传真实 IP”。若使用自建中间设备，需要保证无额外 NAT 破坏。

9. 问：业务发生严重误拦或可用性受影响时，如何最快恢复上线？

9.1 答：优先执行以下顺序：1) 在 WAF 控制台临时关闭域名防护（进入“域名管理”→停用/放行）或切换到“仅放行/透明直通”模式；2) 若无法控制 WAF，立即通过 DNS 将解析切回源站（降低 TTL 可加快生效）；3) 同时排查误杀规则并回滚策略；4) 恢复后逐步放开规则并观察。整个流程需提前演练并写入应急 SOP。

10. 问：如何验证透明代理配置的可用性与稳定性？

10.1 答：验证步骤包括：1) 健康检测：查看回源健康检查日志；2) 功能验证：通过 curl 检查响应头并确认 X-Forwarded-For 中有真实 IP；3) 稳定性验证：在离峰环境做长时间低频请求和短时高并发压测，观察错误率与切换时间；4) 监控告警：确保告警能触发并通知到位，核对日志是否完整上报到 Log Service/OSS。