更新时间:2025-04-25 GMT+08:00
Step3:本地验证
添加防护域名后,为了确保WAF转发正常, 建议您先通过本地验证确保防护域名参数配置正确。
进行此操作前,确保添加的防护域名(例如:www.example5.com)的源站服务器协议、地址、端口配置正确,如果“对外协议”类型选择了“HTTPS”,也必须确保上传的证书和私钥正确。
CNAME值是根据域名生成的,对于同一个域名,其CNAME值是一致的。
操作步骤
- 单击目标域名,进入域名基本信息页面,在“CNAME”信息行,单击
,复制“CNAME”值。 - ping“CNAME”值并记录“CNAME”对应的IP地址。
以域名www.example5.com为例,该域名已添加到WAF的网站配置中,且WAF为其分配了以下CNAME值:xxxxxxxdc1b71f718f233caf77.waf.huaweicloud.com。
在Windows中打开cmd命令行工具或者Linux中的bash工具,运行ping xxxxxxxdc1b71f718f233caf77.waf.huaweicloud.com获取WAF的接入IP。如图1所示,在响应结果中可以看到用来防护您的域名的WAF接入IP。
如果ping cname没有获取到WAF的接入IP,可能是由于您的网络不稳定,请确保您的网络运行正常,再执行以上操作。
- 在本地修改hosts文件,将域名及“CNAME”对应的WAF接入IP添加到“hosts”文件。
- 用文本编辑器打开hosts文件,hosts文件路径如下:
- Windows:“C:\Windows\System32\drivers\etc\”
- Linux:“/etc/hosts”
- 在hosts文件添加如图2 追加记录内容,前面的IP地址即在步骤2中获取的WAF接入IP地址,后面的域名即被防护的域名。
- 修改hosts文件后保存,然后在命令行工具运行ping一下被防护的域名。
图3 ping域名
预期此时解析到的IP地址应该是2中绑定的WAF的接入IP地址。如果依然是源站地址,可尝试刷新本地的DNS缓存(Windows的cmd下可以使用ipconfig/flushdns命令,Linux的bash下可以使用systemd-resolved命令)。
- 用文本编辑器打开hosts文件,hosts文件路径如下:
- 清理浏览器缓存,在浏览器中输入防护域名,测试网站域名是否能正常访问。
如果hosts绑定已经生效(域名已经本地解析为WAF回源IP)且WAF的配置正确,访问该域名,预期网站能够正常打开。
- 手动模拟简单的Web攻击命令,测试Web攻击请求。
- 将Web基础防护的状态设置为“拦截”模式,具体方法请参见配置Web基础防护规则。
- 清理浏览器缓存,在浏览器中输入模拟SQL注入攻击的测试域名,测试WAF是否拦截了此条攻击。
图4 访问被拦截
- 在左侧导航树中,选择,进入“防护事件”页面,查看防护域名测试的各项数据。
