发布时间:2026-06-26 | 作者:主机吧 | 阅读时长:5 分钟 | 类型:经验教程
一、问题描述
今天一位站长找到主机吧,反映他的网站接入百度云防护 WAF 后,出现部分用户无法正常访问的情况,浏览器直接返回 502 Bad Gateway。
二、排查过程
第一步:检查 WAF 配置
起初我们怀疑是网站接入配置有问题,或者 WAF 误拦截了正常用户。但后台查下来——客户提供的 IP 没有任何拦截记录。
第二步:确认异常状态码
百度 WAF 的正常拦截返回状态码是 403,而用户遇到的是 502。这说明请求根本没走到 WAF 的拦截逻辑,而是源站直接返回了错误。
第三步:全国多节点测试
通过 ITdog 对网站进行全国多地访问测试,发现:
| 运营商 | 访问结果 |
|---|---|
| 电信 | ✅ 正常 |
| 联通 | ❌ 502 |
| 移动 | ❌ 502 |
第四步:定位根因
能访问的 IP 是电信,不能访问的是联通和移动——不同运营商对应不同的 WAF 回源节点。
真相只有一个:服务器防火墙把百度云防护的回源 IP 给拦截了。
我们让客户检查服务器防火墙白名单,果然——百度 WAF 的回源 IP 被客户在服务器安全组拦截了。
三、解决方案
把百度云防护 WAF 的回源 IP 段加入服务器安全组放行名单中即可:
111.63.71.192/26
150.138.245.192/26
119.188.178.192/26
119.188.179.192/26添加完后,网站立即恢复正常,502 报错消失。
四、正确接入流程
1. 获取百度云防护 WAF 回源 IP 段
2. 登录服务器防火墙/安全组
3. 将上述 IP 段加入白名单
4. 修改 DNS 解析到百度 WAF CNAME
5. 验证访问正常
6. 开启 WAF 防护规则五、注意事项
| 检查项 | 说明 |
|---|---|
| 服务器防火墙(iptables/firewalld) | 检查是否有默认拒绝策略或 DROP 规则 |
| 宝塔面板安全 | 宝塔后台 → 安全 → 检查是否拦截了回源 IP |
| 云服务商安全组 | 阿里云/腾讯云/华为云安全组入站规则 |
| CDN/WAF 嵌套规则 | 如果使用了多层防护,检查各层的白名单 |
| .htaccess / Nginx 配置 | 检查是否有 IP 限制类规则 |
六、总结
接入百度云防护 WAF 后出现 502 报错,90% 的原因是服务器防火墙或安全组没有放行 WAF 的回源 IP。
排查口诀:
WAF 拦截返回 403,源站拒绝返回 502
运营商不同结果不同,多半是防火墙没放行
只要对照口诀排查,几分钟就能定位问题。
作者:主机吧 | 首发:主机吧 zhujib.com
关联阅读:
