Web 应用防火墙：本地验证

背景信息

通过修改本地计算机的hosts文件，可以设置本地计算机的域名寻址映射，即仅对本地计算机生效的DNS解析记录。本地验证需要您在本地计算机上将网站域名的解析指向WAF的IP地址。这样就可以通过本地计算机访问被防护的域名，验证WAF中添加的域名接入设置是否正确有效，避免域名接入配置异常导致网站访问异常。

前提条件

• 已通过CNAME接入模式手动添加网站域名。更多信息，请参见手动添加网站。
• 如果使用的是HTTPS协议，确认已在WAF控制台添加SSL证书的同时，没有在源站配置SSL证书。如果在WAF控制台和源站同时配置SSL证书，会导致验证失败。

操作步骤

以下操作以使用Windows操作系统的本地计算机为例进行描述。

1. 打开本地计算机的文件资源管理器。
2. 在地址栏输入C:\Windows\System32\drivers\etc\hosts，并选择使用文本编辑器打开hosts文件。
3. 在hosts文件最后一行添加以下记录：

   <WAF IP地址> <被防护域名>

   其中<被防护域名>表示已在WAF添加的域名，<WAF IP地址>表示域名对应的WAF IP地址。<WAF IP地址>和<域名>之间使用空格分隔。

   获取WAF IP地址的操作步骤如下：

   1. 登录Web应用防火墙控制台。
   2. 在顶部菜单栏，选择Web应用防火墙实例的资源组和地域（中国内地、非中国内地）。
   3. 在左侧导航栏，选择资产中心 > 网站接入。
   4. 在域名列表中，定位到已添加的域名，将光标放置在域名上，然后单击，复制域名对应的WAF Cname地址。
   5. 在Windows操作系统中，打开cmd命令行工具。
   6. 执行以下命令：

      ping <已复制的WAF Cname地址>

   7. 在ping命令的返回结果中，记录域名对应的WAF IP地址。
   示例：假设已在WAF添加的域名是test.aliyundoc.com，域名对应的WAF IP地址是47.23.XX.XX，则在hosts文件最后一行添加以下内容：

   47.23.XX.XX test.aliyundoc.com

4. 保存修改后的hosts文件，并执行ping <被防护域名>命令，验证hosts修改已生效。
   预期ping命令解析到的IP地址是域名对应的WAF IP地址，表示hosts修改已经生效。

   如果解析到了源站IP地址，请刷新本地的DNS缓存（可以执行.\ipconfig /flushdns命令）并重新执行ping命令，直到验证hosts修改已经生效。

5. 打开本地计算机的浏览器，在地址栏输入被防护域名进行访问。
   • 如果网站能够正常访问，说明WAF中添加的域名设置正确有效。您可以在将hosts文件复原后，放心修改域名的DNS解析，将网站流量解析到WAF进行防护。更多信息，请参见修改域名DNS。
   • 如果网站访问不正常，说明WAF中添加的域名设置可能有问题，建议您检查WAF中的域名接入设置，修复问题后重新进行本地验证。更多信息，请参见添加域名。
6. 可选：本地模拟简单的Web攻击命令，查看WAF的防护效果。
   例如，您可以在浏览器的地址栏输入<被防护域名>/alert(xss)（这是一个用作测试的Web攻击请求），查看针对Web应用攻击的防御效果。

   预期WAF会返回一个拦截页面。

7. 完成本地验证后，重新修改hosts文件，删除步骤3中添加的记录。
   重要 如果您没有及时删除对应记录，将可能导致本地计算机访问被防护域名的请求出现异常。

获取技术支持