通过HTTPS访问同一源站服务器上的多个不同域名的虚拟主机,如何设置web应用防火墙

发表时间:2022/10/18 阅读量:442 来源: 云熙科技

为了让多个域名复用一个IP,在HTTP服务器上引入了虚拟主机的概念,但是在被多个虚拟主机共享IPHTTPS服务器中,在握手建立之前,服务器无法知道客户端请求的虚拟主机,从而导致服务器无法读取虚拟主机中配置的证书信息。SNISSLTLS的扩展协议,要求客户端在与服务器握手时携带需要访问域名的Host信息,在客户端“Client Hello”报文的请求头中,增加了Server Name的扩展字段,服务器知道需要用哪个虚拟主机的证书与客户端握手并建立TLS连接。如果源站服务器有多个不同域名的虚拟主机,通过HTTPS访问,接入WAF需要开启回源SNI设置。启用回源SNI后,WAF转发客户端请求到源站服务器,在与源站进行TLS握手时,通过SNI扩展字段指定要访问的主机,并与该主机建立HTTPS 连接。

启用回源SNI后,可以进一步设置SNI扩展字段的值。如果WAF回源请求中SNI扩展字段的值与请求头中Host字段的值保持一致,SNI扩展字段设置为与实际请求host保持一致。如果需要WAF在回源请求中使用与实际请求Host不一致的SNISNI扩展字段设置为自定义。

联系我们 更多 +

咨询电话(Tel) 132-4670-0747 邮箱:keming_liu@aliyun.com
地址:广东省深圳市宝安区银田创意园宗泰文创产业园B15栋503室

关注微信
添加即时沟通了解