一、原理说明

HTTPS网站应用的数据在传输中是加密的，只有到服务器了才能利用证书私钥对数据进行解密和加密，而WAF需要对解密后的数据进行安全检测，检测后再以私钥进行加密，所以必须将服务器的证书与密钥提供给WAF导入，WAF才能进行正常的HTTPS防护。而由于网站开发者的水平不同，在安全性可能没做考虑，导致网站本身支持的协议（TLS、SSL）也会有差异，这时候WAF就需要根据服务器支持的协议类型进行协商，从而确定最终交互时使用的协议类型。

 

HTTPS有一个缺点是需要设置连接，每次新的TLS连续都需要握手，以便创建共享的加密密钥，这个握手过程在标准TCP的握手过程之上还需要两个额外的来回过程，这样就导致了HTTPS的站点访问比HTTP的站点要慢，而HTTPS有一个特征可以用来消除额外的来回，即会话重用，但是会话重用会要求服务器记录每一个Session的状态信息，这样就会导致消耗大量内存，所以需要根据实际情况是否开启会话重用。

 

二、配置指导

选择菜单“服务器管理->普通服务器管理”进入普通服务器配置页面，点击“添加”HTTPS服务器，具体参数配置如下。配置完成后点击保存。

·    服务器名称：自定义，本案例命名为web1；

·    IP地址：为防护的Web服务器地址172.16.10.200；

·    端口：为WEB服务器端口；本案例为443端口，实际端口根据现场环境而定；

·    部署模式：串联；

·    防护模式：代理模式，不可修改

·    客户端IP还原：根据部署场景实际情况选填，本例中选填是；

·    接口：bridge2，选择定义的实际业务网桥；

·    ssl站点密钥：上传站点密钥；

·    ssl站点证书：上传站点证书；

·    协议类型：选择协议类型，默认全部勾选，本例中保持默认配置；

·    会话重用：默认不勾选，本例中保持默认配置；

·    启用：勾选；

 

配置完成后，可见web1服务器配置列表

说明:目前https支持导入crt和key格式的证书，如果客户的证书为其他格式的证书，请装换成.crt和.key格式后进行导入。