已在Web应用防火墙(WAF)中添加域名,但还未修改域名的DNS解析(将网站域名解析到WAF)时,建议您通过修改本地计算机的DNS解析,在本地计算机上验证WAF的域名接入设置正确有效。本文以Windows操作系统为例,介绍了在本地计算机验证域名接入设置的操作步骤。

前提条件

已通过CNAME接入模式手动添加网站域名。更多信息,请参见手动添加网站

背景信息

通过修改本地计算机的hosts文件,可以设置本地计算机的域名寻址映射,即仅对本地计算机生效的DNS解析记录。本地验证需要您在本地计算机上将网站域名的解析指向WAF的IP地址。这样就可以通过本地计算机访问被防护的域名,验证WAF中添加的域名接入设置是否正确有效,避免域名接入配置异常导致网站访问异常。

操作步骤

以下操作以本地计算机使用Windows操作系统为例进行描述。

  1. 打开本地计算机的文件资源管理器。
  2. 在地址栏输入C:\Windows\System32\drivers\etc\hosts,并选择使用记事本或Notepad++等文本编辑器打开hosts文件。
  3. hosts文件最后一行添加以下记录:
    <WAF IP地址> <被防护域名>
    其中<被防护域名>表示已在WAF添加的域名,<WAF IP地址>表示域名对应的WAF IP地址。<WAF IP地址><域名>之间使用空格分隔。

    获取WAF IP地址的操作步骤如下:

    1. 登录Web应用防火墙控制台
    2. 在顶部菜单栏,选择Web应用防火墙实例的资源组和地域(中国内地海外地区)。
    3. 在左侧导航栏,单击资产中心 > 网站接入
    4. 域名列表中,定位到已添加的域名,将光标放置在域名上,查看并复制域名对应的WAF Cname地址。CName地址
    5. 在Windows操作系统中,打开cmd命令行工具。
    6. 执行以下命令:
      ping <已复制的WAF Cname地址>
      ping
    7. ping命令的返回结果中,记录域名对应的WAF IP地址。
    示例:假设已在WAF添加的域名是test.wafqa3.com,域名对应的WAF IP地址是47.***.***.213,则在hosts文件最后一行添加以下内容:
    47.***.***.213 test.wafqa3.com
  4. 保存修改后的hosts文件,并执行ping <被防护域名>命令,验证hosts修改已生效。验证本地解析
    预期ping命令解析到的IP地址是域名对应的WAF IP地址,表示hosts修改已经生效。

    如果解析到了源站IP地址,请刷新本地的DNS缓存(可以执行.\ipconfig /flushdns命令)并重新执行ping命令,直到验证hosts修改已经生效。

  5. 打开本地计算机的浏览器,在地址栏输入被防护域名进行访问。
    • 如果网站能够正常访问,说明WAF中添加的域名设置正确有效。您可以在将hosts文件复原后,放心修改域名的DNS解析,将网站流量解析到WAF进行防护。更多信息,请参见修改域名DNS
    • 如果网站访问不正常,说明WAF中添加的域名设置可能有问题,建议您检查WAF中的域名接入设置,修复问题后重新进行本地验证。更多信息,请参见网站接入
  6. 可选:本地模拟简单的Web攻击命令,查看WAF的防护效果。
    例如,您可以在浏览器的地址栏输入<被防护域名>/alert(xss)(这是一个用作测试的Web攻击请求),查看针对Web应用攻击的防御效果。
    预期WAF会返回一个拦截页面。验证转发
  7. 完成本地验证后,重新修改hosts文件,删除步骤3中添加的记录。
    注意 如果您没有及时删除对应记录,将可能导致本地计算机访问被防护域名的请求出现异常。

获取技术支持

如果您无法排查出域名接入设置的故障,需要进一步技术支持,请参考以下途径:
  • 登录Web应用防火墙控制台,在左侧导航栏底部单击有问题,找专家,通过钉钉扫码加入钉钉群(群号:21715946),联系阿里云安全产品专家进行协助。
  • 提交工单
  • 购买Web应用防火墙支持服务,获取第三方服务团队提供的专业技术支持,包括WAF接入指导和基础安全咨询等。