已在Web Application Firewall(Web Application Firewall,簡稱WAF)中添加網域名稱,還未修改網域名稱的DNS解析(將網站網域名稱解析到WAF)時,建議您通過修改本機電腦的DNS解析,在本機電腦上驗證WAF的網域名稱接入設定正確有效。本文以Windows作業系統為例,介紹如何在本機電腦驗證網域名稱接入設定。
背景資訊
通過修改本機電腦的hosts檔案,可以設定本機電腦的網域名稱定址映射,即僅對本機電腦生效的DNS解析記錄。本地驗證需要您在本機電腦上將網站網域名稱的解析指向WAF的IP地址。這樣就可以通過本機電腦訪問被防護的網域名稱,驗證WAF中添加的網域名稱接入設定是否正確有效,避免網域名稱接入配置異常導致網站訪問異常。
前提條件
已通過CNAME接入模式手動添加網站網域名稱。更多資訊,請參見手動添加網站。
操作步驟
以下操作以使用Windows作業系統的本機電腦為例進行描述。
開啟本機電腦的檔案總管。
在地址欄輸入C:\Windows\System32\drivers\etc\hosts,並選擇使用文字編輯器開啟hosts檔案。
在hosts檔案最後一行添加以下記錄:
<WAF IP地址> <被防護網域名稱>其中
<被防護網域名稱>表示已在WAF添加的網域名稱,<WAF IP地址>表示網域名稱對應的WAF IP地址。<WAF IP地址>和<網域名稱>之間使用空格分隔。擷取WAF IP地址的操作步驟如下:
登入Web Application Firewall3.0控制台。在頂部功能表列,選擇WAF執行個體的資源群組和地區(中国内地、非中国内地)。
在左側導覽列,單擊接入管理。
在CNAME接入頁簽,定位到已添加的網域名稱,然後單擊
表徵圖,複製網域名稱對應的WAF CNAME地址。在Windows作業系統中,開啟cmd命令列工具。
執行以下命令:
ping <已複製的WAF Cname地址>在
ping命令的返回結果中,記錄網域名稱對應的WAF IP地址。樣本:假設已在WAF添加的網域名稱是
test.aliyundoc.com,網域名稱對應的WAF IP地址是47.23.XX.XX,則在hosts檔案最後一行添加以下內容:47.23.XX.XX test.aliyundoc.com
儲存修改後的hosts檔案,並執行
ping <被防護網域名稱>命令,驗證hosts修改已生效。預期
ping命令解析到的IP地址是網域名稱對應的WAF IP地址,表示hosts修改已經生效。如果解析到了來源站點IP地址,請重新整理本地的DNS緩衝(可以執行
ipconfig /flushdns命令)並重新執行ping命令,直到驗證hosts修改已經生效。開啟本機電腦的瀏覽器,在地址欄輸入被防護網域名稱進行訪問。
如果網站能夠正常訪問,說明WAF中添加的網域名稱設定正確有效。您可以在將hosts檔案複原後,放心修改網域名稱的DNS解析,將網站流量解析到WAF進行防護。更多資訊,請參見修改網域名稱DNS解析設定。
如果網站訪問不正常,說明WAF中添加的網域名稱設定可能有問題,建議您檢查WAF中的網域名稱接入設定,修複問題後重新進行本地驗證。更多資訊,請參見添加網域名稱。
可選:本地類比簡單的Web攻擊命令,查看WAF的防護效果。
例如,您可以在瀏覽器的地址欄輸入
<被防護網域名稱>/alert(xss)(這是一個用作測試的Web攻擊請求),查看針對Web應用攻擊的防禦效果。預期WAF會返回一個攔截頁面。
完成本地驗證後,重新修改hosts檔案,刪除步驟3中添加的記錄。
重要如果您沒有及時刪除對應記錄,將可能導致本機電腦訪問被防護網域名稱的請求出現異常。