已在Web應用防火墻(Web Application Firewall,簡稱WAF)中添加域名,還未修改域名的DNS解析(將網站域名解析到WAF)時,建議您通過修改本地計算機的DNS解析,在本地計算機上驗證WAF的域名接入設置正確有效。本文以Windows操作系統為例,介紹如何在本地計算機驗證域名接入設置。
背景信息
通過修改本地計算機的hosts文件,可以設置本地計算機的域名尋址映射,即僅對本地計算機生效的DNS解析記錄。本地驗證需要您在本地計算機上將網站域名的解析指向WAF的IP地址。這樣就可以通過本地計算機訪問被防護的域名,驗證WAF中添加的域名接入設置是否正確有效,避免域名接入配置異常導致網站訪問異常。
前提條件
已通過CNAME接入模式手動添加網站域名。更多信息,請參見手動添加網站。
操作步驟
以下操作以使用Windows操作系統的本地計算機為例進行描述。
打開本地計算機的文件資源管理器。
在地址欄輸入C:\Windows\System32\drivers\etc\hosts,并選擇使用文本編輯器打開hosts文件。
在hosts文件最后一行添加以下記錄:
<WAF IP地址> <被防護域名>其中
<被防護域名>表示已在WAF添加的域名,<WAF IP地址>表示域名對應的WAF IP地址。<WAF IP地址>和<域名>之間使用空格分隔。獲取WAF IP地址的操作步驟如下:
登錄Web應用防火墻3.0控制臺。在頂部菜單欄,選擇WAF實例的資源組和地域(中國內地、非中國內地)。
在左側導航欄,單擊接入管理。
在CNAME接入頁簽,定位到已添加的域名,然后單擊
圖標,復制域名對應的WAF CNAME地址。在Windows操作系統中,打開cmd命令行工具。
執行以下命令:
ping <已復制的WAF Cname地址>
在
ping命令的返回結果中,記錄域名對應的WAF IP地址。示例:假設已在WAF添加的域名是
test.aliyundoc.com,域名對應的WAF IP地址是47.23.XX.XX,則在hosts文件最后一行添加以下內容:47.23.XX.XX test.aliyundoc.com
保存修改后的hosts文件,并執行
ping <被防護域名>命令,驗證hosts修改已生效。預期
ping命令解析到的IP地址是域名對應的WAF IP地址,表示hosts修改已經生效。如果解析到了源站IP地址,請刷新本地的DNS緩存(可以執行
ipconfig /flushdns命令)并重新執行ping命令,直到驗證hosts修改已經生效。打開本地計算機的瀏覽器,在地址欄輸入被防護域名進行訪問。
如果網站能夠正常訪問,說明WAF中添加的域名設置正確有效。您可以在將hosts文件復原后,放心修改域名的DNS解析,將網站流量解析到WAF進行防護。更多信息,請參見修改域名DNS解析設置。
如果網站訪問不正常,說明WAF中添加的域名設置可能有問題,建議您檢查WAF中的域名接入設置,修復問題后重新進行本地驗證。更多信息,請參見添加域名。
可選:本地模擬簡單的Web攻擊命令,查看WAF的防護效果。
例如,您可以在瀏覽器的地址欄輸入
<被防護域名>/alert(xss)(這是一個用作測試的Web攻擊請求),查看針對Web應用攻擊的防御效果。預期WAF會返回一個攔截頁面。
完成本地驗證后,重新修改hosts文件,刪除步驟3中添加的記錄。
重要如果您沒有及時刪除對應記錄,將可能導致本地計算機訪問被防護域名的請求出現異常。
獲取技術支持
如果您無法排查出域名接入設置的故障,需要進一步技術支持,您可以購買Web應用防火墻支持服務,獲取第三方服務團隊提供的專業技術支持,包括WAF接入指導和基礎安全咨詢等。