在把业务流量切到WAF上之前,建议您先通过本地验证确保一切配置正常,WAF转发正常。本地验证需要在本地模拟接入WAF,然后访问被防护网站,验证WAF正常转发。

本地接入WAF

通过修改本地hosts文件(什么是hosts文件)模拟接入WAF,将从本地访问被防护站点的请求导向WAF。以Windows操作系统为例,

  1. 用记事本或notepad++等文本编辑器打开hosts文件,hosts文件一般位于C:\Windows\System32\drivers\etc\hosts路径。。
  2. 在最后一行添加如下内容:WAF的IP 被防护的域名

    以域名www.aliyundemo.cn为例,该域名已按照步骤1:添加网站配置添加到WAF的网站配置中,且WAF为其分配了以下CNAME值:xxxxxxxxxwmqvixt8vedyneaepztpuqu.alicloudwaf.com

    1. 在Windows中打开cmd命令行工具,运行ping xxxxxxxxxwmqvixt8vedyneaepztpuqu.alicloudwaf.com获取WAF IP。如下图所示,在响应结果中可以看到用来防护您的域名的WAF IP。

    2. hosts文件添加如下内容,前面的IP地址即上一步获取的WAF IP地址,后面的域名即被防护的域名。

  3. 修改hosts文件后保存。然后本地ping一下被防护的域名。

    预期此时解析到的IP地址应该是刚才绑定的WAF IP地址。如果依然是源站地址,可尝试刷新本地的DNS缓存(Windows的cmd下可以使用ipconfig/flushdns命令)。

验证WAF转发正常

确认hosts绑定已经生效(域名已经本地解析为WAF IP)后,打开浏览器,输入该域名进行访问,如果WAF的配置正确,预期网站能够正常打开。

同时也可以尝试手动模拟一些简单的web攻击命令。例如,您可以在URL后面加一个 /?alert(xss)(这是一个用作测试的Web攻击请求),访问 www.aliyundemo.cn/?alert(xss)。预期WAF会弹出如下阻拦页面。

上述验证通过后,您可以参照步骤4:修改DNS解析,把业务流量正式切换至WAF上。