SafeLine雷池WAF代理WebSocket应用问题分析与解决方案

问题背景

SafeLine雷池作为一款Web应用防火墙，在4.2.0版本更新后，用户反馈在代理WebSocket应用时出现了连接失败的问题。特别是对于code-server这类基于WebSocket的应用，在通过雷池代理后会出现WebSocket连接中断的错误(错误码1006)。

问题现象

当用户将WebSocket应用(如code-server)部署在雷池后方并通过雷池进行代理时，前端会出现WebSocket连接失败的报错。通过开发者工具可以看到WebSocket连接被异常关闭，而直接访问后端服务则工作正常。

问题分析

经过技术分析，这个问题主要与Nginx的代理配置有关，具体表现为：

1. 当使用非443端口映射到443端口时(如9999:443)，WebSocket连接会失败
2. 问题与HTTP头部的传递有关，特别是X-Forwarded-Host头部的处理
3. 默认配置中使用$host变量会导致端口信息丢失，影响WebSocket的正确路由

解决方案

针对这个问题，可以通过修改Nginx的代理配置来解决：

proxy_set_header X-Forwarded-Host $http_host;

关键点在于将原来的$host变量改为$http_host变量，两者的主要区别是：

• $host：不包含端口信息
• $http_host：包含完整的Host头部信息，包括端口

这个修改确保了WebSocket连接所需的完整主机和端口信息能够正确传递到后端服务。

技术原理

WebSocket协议在建立连接后需要维持持久连接，任何代理环节的中断都可能导致连接失败。在通过雷池这样的反向代理时，需要注意：

1. WebSocket的Upgrade头部必须正确传递
2. 连接信息(包括端口)必须完整保留
3. 代理超时设置需要适当延长以适应WebSocket的长连接特性

最佳实践

对于需要在雷池后部署WebSocket应用的用户，建议：

1. 检查并确保代理配置中包含正确的WebSocket支持指令
2. 验证端口信息是否正确传递
3. 对于关键业务WebSocket应用，考虑使用专门的代理规则
4. 测试不同网络环境下的连接稳定性

总结

SafeLine雷池作为安全防护产品，在代理WebSocket应用时需要特别注意连接信息的完整性。通过调整代理头部配置，可以完美解决WebSocket连接问题，同时不影响安全防护功能。这个问题的解决也体现了在安全与功能之间寻找平衡的重要性。