这个问题涉及到你高防系统架构问题,如果你的高防防火墙是4/7处理后再转发到用户源站,还是前端防护墙只处理4层DDoS攻击,然后把7层处理放到7层转发系统之上。各有利弊,放到前面可以复用4层处理的数据,包含动态信任列表等,放到后面SLB升级机动。
如果你的slb在nginx 或者tengine上修正的。
WebSocket应用 ws 或 wss 的统一资源标记符,根据高防产品共享Nginx代理方法,我们需要同时支撑http和WebSocket转发。Nginx1.3版本以上就支撑WebSocket了,但是请求http支撑1.1版本。如果高防产品是主动化配置管理,那还需要升级主动化配置程序,WSS证书和https配置雷同。
server {
listen80;
server_namews.test
location / {
proxy_pass http://127.0.0.1:8001/;
proxy_redirectoff;
proxy_http_version1.1;
proxy_set_header Upgrade $http_upgrade;
proxy_set_header Connection "upgrade";
}
}
针对WS协议的攻击目前还没有太牛的案例,所以应用传统CC防护算法可以满足需求,如果涌现在一个连接中涌现海量提交,可以在代码中参加特别处理流程。
