SafeLine WAF 中 IP 地址域名证书配置问题解析

问题背景

在使用 SafeLine WAF（雷池）时，当用户通过 IP 地址直接访问网站时，系统会返回默认的 WAF 证书而非配置的站点证书。这种情况常见于以下场景：

1. 用户直接通过服务器 IP 地址访问网站
2. 某些特殊环境下需要使用 IP 而非域名访问
3. 临时测试或调试场景

技术原理分析

这种现象的根本原因在于 WAF 的证书匹配机制。现代 WAF 通常基于 SNI（Server Name Indication）技术来匹配证书，而 IP 地址访问时：

1. 客户端请求中不包含 SNI 信息
2. WAF 无法确定应该返回哪个站点的证书
3. 系统自动回退到默认证书

解决方案

在 SafeLine WAF 7.4.0 版本中，可以通过以下步骤解决此问题：

1. 登录 WAF 管理界面
2. 找到相关站点配置
3. 关闭"严格 SNI 匹配"选项（具体名称可能略有不同）
4. 保存配置并重启相关服务

注意事项

1. 关闭严格 SNI 匹配可能会带来一定的安全风险，建议仅在必要时启用
2. 生产环境应尽量使用域名而非 IP 地址访问
3. 如需长期使用 IP 访问，建议配置专门的 IP 证书
4. 修改配置文件后，通过管理界面进行的配置变更可能会覆盖手动修改

最佳实践建议

1. 证书配置：为 IP 地址单独申请并配置证书
2. 访问控制：限制 IP 直接访问的场景
3. 版本升级：保持 WAF 版本更新以获取最新功能
4. 监控日志：密切关注相关访问日志，确保配置生效

通过以上方法，可以确保在使用 SafeLine WAF 时，无论是通过域名还是 IP 地址访问，都能获得正确的证书配置，保障通信安全。