雷池社区版 7.2.3 更新公告
雷池 - 小小
更新于 1 天前
0
9
WAF代理不成功
EliauK.
更新于 2 小时前
测试环境地址+8000端口正常访问
代理的地址+8080无法访问是怎么回事
0
3
商业版主备模式接入过程中的问题和思考
鱼
更新于 3 小时前
部署版本: 8.8.0 -> 8.9.0 -> 8.9.1,社区商业版、主备模式
部署平台: 阿里云
部署实例: 通用计算型 4c8g
接入域名: 100+(目前仅上线非生产域名)
网络链路: DNS -> 阿里云NLB -> 雷池主备 -> 源站
1、体验优化
1) 统计报表
8.9.0版本之前点击"统计报表"页面会卡很久(新部署,没有接入任何网站),最新的8.9.1版本快了很多,但还是偶尔会卡顿。
如果是页面"渲染"之类的问题(个人不懂前端),譬如"地理位置3D"之类,是否可以改成默认更改的展示模式,或者做成可配置,方便用户按需配置(快或好看)。 -- 领导看了几次,就差没摔鼠标了
其次,下方的"数据统计",譬如 "外部来源域名"、"外部来源页面" 等统计数据是否可以添加一个"筛选"功能(同事反馈的)。
2) 防护应用
"防护应用"的搜索框,输入是真的卡。 最新版8.9.1如是。
"防护应用"分组里面的站点拖动,是真的慢(譬如20个站点,想拖到倒数第二,很慢很慢,偶尔还会弹回去,需重新拖动。 个人是14寸笔记本电脑8c16g 2.8k分辨率,会和分辨率有关吗?)。 最新版8.9.1如是。
另外,如果做成类似略缩图那样的"视图模式",会不会方便拖动/调整(排序)。 -- 总之操作尽可能快些,现在拖动如ppt
2. 功能需求
1) 防护应用 配置 的 批量操作
是否可以为一些通用的功能(非全局),增加"批量设置"方法,譬如批量操作如下功能:
- 启用、关闭上游服务器健康检测
- 启用、关闭访问、错误日志
- 切换自定义配置、跟随全局配置
- 启用、关闭HSTS
- 设置 TLS协议版本
- 启用、关闭 HTTP 自动跳转到 HTTPS
- 添加Header
...
2) 控制台用户管理
是否可以增加一个"拥有全部功能"的只读权限用户设置 (迫切需要,领导要看,但不能给他有任何修改的权限。如果说登录备节点,不合适,万一他登了主节点怎么办,又没有操作审计)。
3) 防护应用 全局日志过滤
是否有可能添加一个针对所有防护应用的全局日志过滤功能?
譬如所有防护应用对 指定 UA 的监控日志 关闭记录(需要启用日志,但又不想记录大量的监控日志的场景)。
4) 防护应用的"上游服务器"负载均衡
是否可以添加"权重"设置功能,如nginx upstream server 的 weight 配置,使后端站点维护更便捷。
3. 主备模式问题
1) 申请免费https证书
主备模式下,或因前置NLB调度关系,在 Let's Encrypt 做二次校验的时候,由于调度节点不同,导致验证失败,无法正常使用该功能。
我们采购雷池WAF需求之一,就是看上雷池WAF该功能。因为我们小站特别多,域名又不同,而免费证书只有90天有效,所以在证书管理上花费了较多时间,所以希望借助该功能释放掉这部分工作。 -- 这么多小站也不可能都买证书
Ps: 咨询过交流群,官方维护人员反馈临时下掉备节点,这是不合理的,首先不说影响所有接入的站点,证书在自动续期的时候,雷池的程序似乎也没有自动下掉备节点的能力。
2) CC防护-频率限制
主备模式下,由于前置NLB调度关系,且多节点防护数据不共享,会"破坏"掉这个限制(已测试)。
譬如主备2个WAF节点,限制"60s以内30次攻击封禁30分钟"。
因NLB关系,则变成了每个节点30次攻击,在轮询的"极限"情况下,可能需要在被攻击第59次才触发封禁。同时,如果有节点伸缩需求,会进一步"破坏"掉预设规则,导致功能不符预期。
3) 备节点间断性占用CPU资源
目前通过监控查看,主备CPU、内存资源、系统负载、磁盘读写等差异较大(目前生产还没切换上线)。
备节点的CPU资源占用(间断)比主节点的资源多10倍以上,内存则是主节点的2倍以上。如下图所示。
新版本8.9.1 CPU资源占用比 8.9.0 少了一些,但仍然占用大量资源,似乎不太合理,希望继续优化。
0
3
统一认证配置OIDC,登陆时提示“获取用户信息失败“
rin
更新于 34 分钟前
我按文档配置了OIDC服务,访问统一认证中心后也能够正常跳转到sso服务器并在该服务器上认证登陆。但在SSO服务器跳转回统一认证中心后,提示”获取用户信息失败“。
查看compose日志,这时会打印:
safeline-chaos | 2025/06/24 10:08:00 ERROR get user info failed error="empty username" source_id=2
我检查了该SSO服务器提供服务的其他应用,没有该问题。我也用雷池的请求测试了认证流程,返回的userInfo类似于下面这样:
curl -H "Authorization: Bearer <token>" \
https://sso.demo.cn/webman/sso/SSOUserInfo.cgi
{
"sub" : "test_user@demo.cn",
"username" : "test_user"
}
如何进一步排查问题呢?
0
2
雷池社区版 7.2.3 更新公告
雷池 - 小小
更新于 1 天前
0
9
WAF代理不成功
EliauK.
更新于 2 小时前
测试环境地址+8000端口正常访问
代理的地址+8080无法访问是怎么回事
0
3
商业版主备模式接入过程中的问题和思考
鱼
更新于 3 小时前
部署版本: 8.8.0 -> 8.9.0 -> 8.9.1,社区商业版、主备模式
部署平台: 阿里云
部署实例: 通用计算型 4c8g
接入域名: 100+(目前仅上线非生产域名)
网络链路: DNS -> 阿里云NLB -> 雷池主备 -> 源站
1、体验优化
1) 统计报表
8.9.0版本之前点击"统计报表"页面会卡很久(新部署,没有接入任何网站),最新的8.9.1版本快了很多,但还是偶尔会卡顿。
如果是页面"渲染"之类的问题(个人不懂前端),譬如"地理位置3D"之类,是否可以改成默认更改的展示模式,或者做成可配置,方便用户按需配置(快或好看)。 -- 领导看了几次,就差没摔鼠标了
其次,下方的"数据统计",譬如 "外部来源域名"、"外部来源页面" 等统计数据是否可以添加一个"筛选"功能(同事反馈的)。
2) 防护应用
"防护应用"的搜索框,输入是真的卡。 最新版8.9.1如是。
"防护应用"分组里面的站点拖动,是真的慢(譬如20个站点,想拖到倒数第二,很慢很慢,偶尔还会弹回去,需重新拖动。 个人是14寸笔记本电脑8c16g 2.8k分辨率,会和分辨率有关吗?)。 最新版8.9.1如是。
另外,如果做成类似略缩图那样的"视图模式",会不会方便拖动/调整(排序)。 -- 总之操作尽可能快些,现在拖动如ppt
2. 功能需求
1) 防护应用 配置 的 批量操作
是否可以为一些通用的功能(非全局),增加"批量设置"方法,譬如批量操作如下功能:
- 启用、关闭上游服务器健康检测
- 启用、关闭访问、错误日志
- 切换自定义配置、跟随全局配置
- 启用、关闭HSTS
- 设置 TLS协议版本
- 启用、关闭 HTTP 自动跳转到 HTTPS
- 添加Header
...
2) 控制台用户管理
是否可以增加一个"拥有全部功能"的只读权限用户设置 (迫切需要,领导要看,但不能给他有任何修改的权限。如果说登录备节点,不合适,万一他登了主节点怎么办,又没有操作审计)。
3) 防护应用 全局日志过滤
是否有可能添加一个针对所有防护应用的全局日志过滤功能?
譬如所有防护应用对 指定 UA 的监控日志 关闭记录(需要启用日志,但又不想记录大量的监控日志的场景)。
4) 防护应用的"上游服务器"负载均衡
是否可以添加"权重"设置功能,如nginx upstream server 的 weight 配置,使后端站点维护更便捷。
3. 主备模式问题
1) 申请免费https证书
主备模式下,或因前置NLB调度关系,在 Let's Encrypt 做二次校验的时候,由于调度节点不同,导致验证失败,无法正常使用该功能。
我们采购雷池WAF需求之一,就是看上雷池WAF该功能。因为我们小站特别多,域名又不同,而免费证书只有90天有效,所以在证书管理上花费了较多时间,所以希望借助该功能释放掉这部分工作。 -- 这么多小站也不可能都买证书
Ps: 咨询过交流群,官方维护人员反馈临时下掉备节点,这是不合理的,首先不说影响所有接入的站点,证书在自动续期的时候,雷池的程序似乎也没有自动下掉备节点的能力。
2) CC防护-频率限制
主备模式下,由于前置NLB调度关系,且多节点防护数据不共享,会"破坏"掉这个限制(已测试)。
譬如主备2个WAF节点,限制"60s以内30次攻击封禁30分钟"。
因NLB关系,则变成了每个节点30次攻击,在轮询的"极限"情况下,可能需要在被攻击第59次才触发封禁。同时,如果有节点伸缩需求,会进一步"破坏"掉预设规则,导致功能不符预期。
3) 备节点间断性占用CPU资源
目前通过监控查看,主备CPU、内存资源、系统负载、磁盘读写等差异较大(目前生产还没切换上线)。
备节点的CPU资源占用(间断)比主节点的资源多10倍以上,内存则是主节点的2倍以上。如下图所示。
新版本8.9.1 CPU资源占用比 8.9.0 少了一些,但仍然占用大量资源,似乎不太合理,希望继续优化。
0
3
统一认证配置OIDC,登陆时提示“获取用户信息失败“
rin
更新于 34 分钟前
我按文档配置了OIDC服务,访问统一认证中心后也能够正常跳转到sso服务器并在该服务器上认证登陆。但在SSO服务器跳转回统一认证中心后,提示”获取用户信息失败“。
查看compose日志,这时会打印:
safeline-chaos | 2025/06/24 10:08:00 ERROR get user info failed error="empty username" source_id=2
我检查了该SSO服务器提供服务的其他应用,没有该问题。我也用雷池的请求测试了认证流程,返回的userInfo类似于下面这样:
curl -H "Authorization: Bearer <token>" \
https://sso.demo.cn/webman/sso/SSOUserInfo.cgi
{
"sub" : "test_user@demo.cn",
"username" : "test_user"
}
如何进一步排查问题呢?
0
2