Domain Name System (DNS) レコードを更新して Web Application Firewall (WAF) 経由でトラフィックをルーティングする前に、お使いのコンピューターの hosts ファイルを変更して、WAF の設定をローカルでテストします。これにより、ライブトラフィックに影響を与えることなく、WAF がドメインを正しく保護していることを確認できます。
前提条件
始める前に、次のことを確認してください。
CNAME レコードモードでドメイン名が WAF に追加されていること。 詳細については、「WAF へのドメイン名の追加」をご参照ください。
仕組み
お使いのコンピューターの hosts ファイルを変更すると、DNS 名前解決がローカルで上書きされます。影響を受けるのは、お使いのマシンのみです。hosts ファイルでドメインを WAF インスタンスの IP アドレスに向けることで、WAF 経由でサイトにアクセスし、すべてのユーザーの DNS レコードを切り替える前に保護が機能することを確認できます。
WAF ドメイン設定の検証
以下の手順では、Windows コンピューターを例として使用します。Linux の場合、hosts ファイルは /etc/hosts にあります。
ステップ 1: WAF インスタンスの IP アドレスの取得
WAF 3.0 コンソールにログインします。上部のナビゲーションバーで、WAF インスタンスがデプロイされているリソースグループとリージョンを選択します。[中国本土] または [中国本土以外] を選択できます。
左側のナビゲーションウィンドウで、[Web サイト設定] をクリックします。
[CNAME レコード] タブで、ドメイン名を見つけ、コピーアイコンをクリックして WAF によって割り当てられた CNAME をコピーします。
コマンドプロンプトを開き、以下を実行します。
ping <コピーした CNAME>出力で返された IP アドレスを記録します。これが、ご利用の WAF インスタンスの IP アドレスです。
ステップ 2: hosts ファイルの更新
エクスプローラーを開き、アドレスバーに次のパスを入力します。
C:\Windows\System32\drivers\etc\hostshosts ファイルをテキストエディターで開き、次のエントリを追加します。
<WAF インスタンスの IP アドレス> <保護対象のドメイン名>フォーマット: WAF インスタンスの IP アドレス、スペース、WAF に追加したドメイン名の順に入力します。例: ドメインが
test.aliyundoc.comで、WAF インスタンスの IP が47.23.XX.XXの場合:47.23.XX.XX test.aliyundoc.comhosts ファイルを保存します。
ステップ 3: hosts ファイルの変更内容の確認
次のコマンドを実行して、変更を確認します。
ping <保護対象のドメイン名>出力の IP アドレスがご利用の WAF インスタンスの IP と一致する場合、変更は有効になっています。
代わりにオリジンサーバーの IP が表示された場合は、DNS キャッシュをクリアして、再度 ping を実行します。
\ipconfig /flushdnsステップ 4: Web サイトへのアクセスのテスト
ブラウザのアドレスバーに、保護対象のドメイン名を入力します。
アクセス可能 — WAF のドメイン設定は有効です。hosts ファイルを元に戻し、DNS レコードを更新して本番トラフィックを WAF 経由でルーティングします。詳細については、「DNS レコードの変更」をご参照ください。
アクセス不可 — WAF のドメイン設定が正しくない可能性があります。WAF の設定を確認して修正し、この検証を再度実行してください。詳細については、「WAF へのドメイン名の追加」をご参照ください。
ステップ 5: (任意) Web 攻撃のシミュレーション
WAF が攻撃をブロックすることを確認するには、ブラウザに次の URL を入力します。
<保護対象のドメイン名>/alert(xss)WAF がこのクロスサイトスクリプティング (XSS) の試みをブロックするかどうかを確認します。
ステップ 6: hosts ファイルのエントリの削除
ステップ 2 で hosts ファイルに追加したエントリを削除します。
このステップをスキップすると、お使いのコンピューターから保護対象ドメインへのリクエストは、hosts ファイル内の WAF インスタンスの IP アドレス経由でルーティングされ続け、アクセスに問題が発生する可能性があります。
次のステップ
WAF がドメインを正しく保護することを確認した後、DNS レコードを更新して、すべてのトラフィックを WAF 経由でルーティングします。