HTTPS高防服务器故障如何排查

HTTPS高防服务器故障排查手册
一 快速定位路径

• 从本地与不同网络环境测试连通性（持续 ping、traceroute/mtr），先排除本地网络问题。
• 核查 DNS：用 dig/nslookup 检查解析是否正确、是否跨网；优先采用 CNAME 接入高防，按运营商绑定高防 IP 与源站 IP，避免跨网解析/回源。
• 直连源站健康探测：在源站上临时开放 80/443 做验证，如直接访问 http://源站IP:80 或 https://源站IP:443，确认业务本身可服务。
• 复核高防转发规则与证书：协议（HTTP/HTTPS/WebSocket）、端口、回源 IP/端口、证书链是否匹配业务。
• 在源站放行高防回源 IP 段（防火墙/安全软件/业务限速模块白名单）。
• 查看业务与系统指标：CPU/内存/带宽/连接数/慢查询/错误日志，定位性能瓶颈或程序异常。
• 若触发黑洞，评估是否升级防护并联系支持提前解封（常见默认解封约 30 分钟）。

二 常见症状与处理要点

三 HTTPS与证书专项排查

• 协议与套件：确保仅启用 TLS1.2+，禁用 SSLv3/TLS1.0/1.1；使用 ssllabs.com/ssltest 检测配置强度与证书链。
• 证书链与域名匹配：确认证书包含完整链（含中间 CA），域名与证书 SAN/CN 完全匹配，证书未过期。
• 回源 HTTPS：若高防到源站也走 HTTPS，核对回源端口（常见 443）、证书与协议一致性。
• 长连接与超时：核对 keepalive、读写超时与网关/负载均衡超时阈值，避免长请求触发 504。
• 特殊协议：如 WebSocket/HTTP/2，确认握手与 ALPN/h2 配置正确。

四 日志与取证方法

• 高防/WAF 层：导出访问日志与拦截日志，关注返回码分布、拦截规则命中、回源耗时、异常 UA/Referer。
• Web 服务器与应用：实时查看 Nginx/Apache 错误日志与应用错误日志，例如：tail -f /var/log/nginx/error.log；grep "ERROR" /opt/app/logs/app.log。
• 复现与最小化请求：用 curl/Postman 构造最小化请求，排除业务参数/SDK 问题。
• 客户端 IP：源站日志默认是回源 IP，需在源站安装 TOA 等模块还原真实客户端 IP 以便审计与风控。

五 应急与加固建议

• 紧急止血：临时扩容/限流/熔断/降级；必要时回滚最近变更；重启服务仅作临时恢复手段。
• 回源稳定性：将高防回源 IP 段全量加入源站防火墙、WAF、业务限速白名单；避免跨网回源。
• 架构联动：推荐路径为 浏览器 → DDoS 高防 → WAF → 源站；如需 CDN，采用联动而非直接串接，动态资源（如登录/支付）走高防。
• 源站安全：更换已暴露源站公网 IP；仅允许高防回源；开启 TOA 获取真实 IP。
• 变更管控：证书/配置/策略变更先在灰度环境验证，再全量发布；保留回滚方案。
• 监控告警：对 5xx 比例、回源耗时、连接数、带宽、CPU/内存设置阈值告警，缩短 MTTR。