背景信息

通過修改本地計算機的hosts文件，可以設(shè)置本地計算機的域名尋址映射，即僅對本地計算機生效的DNS解析記錄。本地驗證需要您在本地計算機上將網(wǎng)站域名的解析指向WAF的IP地址。這樣就可以通過本地計算機訪問被防護的域名，驗證WAF中添加的域名接入設(shè)置是否正確有效，避免域名接入配置異常導致網(wǎng)站訪問異常。

前提條件

已通過CNAME接入模式手動添加網(wǎng)站域名。更多信息，請參見手動添加網(wǎng)站。

操作步驟

以下操作以使用Windows操作系統(tǒng)的本地計算機為例進行描述。

1. 打開本地計算機的文件資源管理器。

2. 在地址欄輸入C:\Windows\System32\drivers\etc\hosts，并選擇使用文本編輯器打開hosts文件。

3. 在hosts文件最后一行添加以下記錄：

   <WAF IP地址> <被防護域名>

   其中<被防護域名>表示已在WAF添加的域名，<WAF IP地址>表示域名對應(yīng)的WAF IP地址。<WAF IP地址>和<域名>之間使用空格分隔。

   獲取WAF IP地址的操作步驟如下：

   1. 登錄Web應(yīng)用防火墻3.0控制臺。在頂部菜單欄，選擇WAF實例的資源組和地域（中國內(nèi)地、非中國內(nèi)地）。

   2. 在左側(cè)導航欄，單擊接入管理。

   3. 在CNAME接入頁簽，定位到已添加的域名，然后單擊圖標，復制域名對應(yīng)的WAF CNAME地址。

   4. 在Windows操作系統(tǒng)中，打開cmd命令行工具。

   5. 執(zhí)行以下命令：

      ping <已復制的WAF Cname地址>

      

   6. 在ping命令的返回結(jié)果中，記錄域名對應(yīng)的WAF IP地址。

      示例：假設(shè)已在WAF添加的域名是test.aliyundoc.com，域名對應(yīng)的WAF IP地址是47.23.XX.XX，則在hosts文件最后一行添加以下內(nèi)容：

      47.23.XX.XX test.aliyundoc.com

4. 保存修改后的hosts文件，并執(zhí)行ping <被防護域名>命令，驗證hosts修改已生效。

   預期ping命令解析到的IP地址是域名對應(yīng)的WAF IP地址，表示hosts修改已經(jīng)生效。

   如果解析到了源站IP地址，請刷新本地的DNS緩存（可以執(zhí)行ipconfig /flushdns命令）并重新執(zhí)行ping命令，直到驗證hosts修改已經(jīng)生效。

5. 打開本地計算機的瀏覽器，在地址欄輸入被防護域名進行訪問。

   • 如果網(wǎng)站能夠正常訪問，說明WAF中添加的域名設(shè)置正確有效。您可以在將hosts文件復原后，放心修改域名的DNS解析，將網(wǎng)站流量解析到WAF進行防護。更多信息，請參見修改域名DNS解析設(shè)置。

   • 如果網(wǎng)站訪問不正常，說明WAF中添加的域名設(shè)置可能有問題，建議您檢查WAF中的域名接入設(shè)置，修復問題后重新進行本地驗證。更多信息，請參見添加域名。

6. 可選：本地模擬簡單的Web攻擊命令，查看WAF的防護效果。

   例如，您可以在瀏覽器的地址欄輸入<被防護域名>/alert(xss)（這是一個用作測試的Web攻擊請求），查看針對Web應(yīng)用攻擊的防御效果。

   預期WAF會返回一個攔截頁面。

7. 完成本地驗證后，重新修改hosts文件，刪除步驟3中添加的記錄。

   重要

   如果您沒有及時刪除對應(yīng)記錄，將可能導致本地計算機訪問被防護域名的請求出現(xiàn)異常。

獲取技術(shù)支持

如果您無法排查出域名接入設(shè)置的故障，需要進一步技術(shù)支持，您可以購買Web應(yīng)用防火墻支持服務(wù)，獲取第三方服務(wù)團隊提供的專業(yè)技術(shù)支持，包括WAF接入指導和基礎(chǔ)安全咨詢等。