waf防护的https网站打不开

一、为什么 “关策略 / 回退配置” 没用，“禁用 HTTPS 服务器” 就好？

• 你这台 WAF 是反向代理 + SSL 卸载：443 端口的 HTTPS 流量先到 WAF，WAF 用你上传的证书做 SSL 解密，再以明文 HTTP 回源；禁用 HTTPS 服务器 = WAF 不做 SSL 卸载，直接透传，所以能通。
• “Web 防护策略” 是解密后的 HTTP 层检测；你现在是SSL 握手 / 解密阶段就失败，还没到 HTTP 层，所以关策略无效。
• 只这一个 HTTPS 站点出问题、HTTP 全正常，说明全局网络 / 路由 / 端口没问题，就是这一条 HTTPS 服务器配置的 SSL 相关参数异常。

二、立刻能做的 5 步排查（按优先级）

1）核对证书：是否完整、是否匹配域名、是否过期

• 证书必须是该站点域名的有效证书（CN/SAN 匹配）。
• 必须包含完整证书链（服务器证书 + 中间 CA 证书，缺一不可）。
• 证书未过期、未吊销，WAF 系统时间正确（时间错会导致证书判为无效）。
• 常见坑：只传了服务器证书，没合并中间证书 → 浏览器 / WAF 握手失败。
• 处理：把中间证书内容合并到服务器证书文件末尾，重新上传 WAF，替换旧证书。

2）检查 SSL 策略：TLS 版本、加密套件是否和客户端 / 源站兼容

• ESS6101 默认可能只开TLS1.2+；如果客户端 / 源站只支持 TLS1.0/1.1，会握手失败。
• 加密套件列表是否为空，或没有客户端支持的套件（比如客户端只支持 AES-256，WAF 只开了 AES-128）。
• 建议：先改成兼容模式（TLS1.0/1.1/1.2 全开，加密套件选 “全部”）测试；通了再收紧。

3）检查 HTTPS 服务器的 “回源方式”

• 确认是HTTP 回源（默认 80），不是 HTTPS 回源（443）；如果误配成 HTTPS 回源，而源站没开 443 或证书不匹配，也会不通。
• 回源 IP / 端口是否正确，WAF 到源站路由是否通（ping/telnet 源站 80 端口）。

4）抓包 + 看日志：定位 SSL 握手失败点

• WAF 抓包：诊断工具→报文捕获，抓 443 端口流量；访问失败时看SSL 握手包（Client Hello→Server Hello）是否正常交互，还是直接 RST / 超时。
• 日志：日志系统→SSL 日志 / 系统日志，搜 “SSL”“handshake”“certificate”，看具体报错（如证书无效、套件不匹配、版本不支持）。

5）版本与特征库：ESS6101 有已知 SSL 兼容问题

• 你的版本 3.1 ESS6101，早期批次存在 TLS1.3 兼容、部分证书链解析异常的 BUG。
• 临时规避：先按步骤 1–4 修复配置；长期建议升级到 ESS6204 + 最新特征库，官方修复了多起 HTTPS 握手失败问题。

三、快速恢复的临时方案（业务优先）

1. 先禁用该 HTTPS 服务器（你已验证可行），业务恢复。
2. 夜间低峰：按上面步骤重新上传完整证书 + 调整 SSL 策略，再启用 HTTPS 服务器。
3. 仍异常：升级 WAF 到 ESS6204，再重试配置。

四、关键结论

• 根因：WAF 上该 HTTPS 服务器的证书链不完整 / 域名不匹配 / SSL 策略（TLS 版本 / 加密套件）不兼容。
• 无关：Web 防护策略、一月前旧配置、全局网络（HTTP 正常）。
• 必做：合并完整证书链 + 适配 SSL 策略 + 必要时升级固件。