更新时间:2024-03-05 GMT+08:00

步骤五:独享引擎本地验证

添加防护网站后,为了确保WAF转发正常, 建议您先通过本地验证确保防护网站一切配置正常。

(可选)单独验证独享WAF是否正常工作

  1. 创建一台与独享WAF实例在同一VPC下的ECS用于发送请求。
  2. 通过步骤 1中创建的ECS向独享WAF发送请求。

    • 转发测试
      curl -kv -H "Host: {添加到WAF的防护对象}" {服务器配置中的对外协议}://{独享WAF的IP}:{防护对象端口}

      例如:

      curl -kv -H "Host: a.example.com" http://192.168.0.1

      返回码为 200 则说明转发成功。

    • 攻击拦截测试。
      1. 确保网站对应策略已开启基础防护的拦截模式。

      2. 执行以下命令:
        curl -kv -H "Host: {添加到WAF的防护对象}" {服务器配置中的对外协议}://{独享WAF的IP}:{防护对象端口} --data “id=1 and 1=’1”
        例如:
        curl -kv -H “Host: a.example.com” http:// 192.168.X.X --data “id=1 and 1=’1”

        返回码为 418 则说明拦截成功,独享WAF工作正常。

验证独享WAF和ELB是否都正常工作

  • 转发测试
    curl -kv -H "Host: {添加到WAF的防护对象}" {ELB对外协议}://{ELB私网的IP}:{ELB监听端口}

    如果 ELB 添加了 EIP,可以使用任意公网机器直接进行测试

    curl -kv -H “Host: {添加到WAF的防护对象}” {ELB对外协议}://{ELB公网的IP}:{ELB监听端口}

    例如:

    curl -kv -H “Host: a.example.com” http://192.168.X.Y
    curl -kv -H “Host: a.example.com” http://100.10.X.X

    返回码为200则说明转发成功。

    在确保独享引擎工作正常的情况下,如果转发失败,则优先检查ELB配置是否有误(如果ELB健康检查异常可先关闭ELB健康检查再重新执行以上的操作)。

  • 攻击拦截测试
    1. 确保网站对应策略已开启基础防护的拦截模式。

    2. 执行以下命令:
      curl -kv -H "Host: {添加到WAF的防护对象}" {ELB对外协议}://{ELB私网的IP}:{ELB监听端口} --data “id=1 and 1=’1”

      如果ELB添加了EIP ,可以使用任意公网机器直接进行测试

      curl -kv -H "Host: {添加到WAF的防护对象}" {ELB对外协议}://{ELB公网的IP}:{ELB监听端口} --data “id=1 and 1=’1”

      例如:

      curl -kv -H “Host: a.example.com” http:// 192.168.0.2 --data “id=1 and 1=’1”
      curl -kv -H “Host: a.example.com” http:// 100.10.X.X --data “id=1 and 1=’1”

      返回码为418则说明拦截成功,独享WAF、ELB均工作正常。