添加防护域名后,为了确保WAF转发正常, 建议您先通过本地验证确保防护域名一切 配置正常。
进行此操作前,确保添加的防护域名(例如:www.example5.com)的源站服务器协 议、地址、端口配置正确,如果“对外协议”类型选择了“HTTPS”,也必须确保上 传的证书和私钥正确。
前提条件
已添加防护域名,且域名参数配置正确。
约束条件
用户指南 4 网站接入 WAF(云模式)
本地接入 WAF
步骤1 获取CNAME值。
● 如果您正在添加防护域名,在配置域名基本信息后,请参考以下方式获取域名的 CNAME值。
单击“复制”,获取防护域名的CNAME值,如图4-19或图4-20所示。
图4-19 域名接入(使用代理)
图4-20 域名接入(未使用代理)
● 如果您已完成添加域名,请参考以下操作步骤获取域名的CNAME值。
a. 进入网站配置页面入口,如图4-21所示。
图4-21 网站设置入口
b. 在目标域名所在行的“防护网站”列中,单击目标域名,进入域名基本信息 页面。
图4-22 查看基本信息
c. 在“CNAME”信息行,单击 ,复制“CNAME”值。
步骤2 ping“CNAME”值并记录“CNAME”对应的IP地址。
以域名www.example5.com为例,该域名已添加到WAF的网站配置中,且WAF为其分 配了以下CNAME值:xxxxxxxdc1b71f718f233caf77.waf.huaweicloud.com。
在Windows中打开cmd命令行工具,运行ping
xxxxxxxdc1b71f718f233caf77.waf.huaweicloud.com获取WAF的回源IP。如图4-23所 示,在响应结果中可以看到用来防护您的域名的WAF回源IP。
图4-23 ping cname
步骤3 在本地修改hosts文件,将域名及“CNAME”对应的WAF回源IP添加到“hosts”文 件。
1. 用记事本或notepad++等文本编辑器打开hosts文件,hosts文件一般位于“C:
\Windows\System32\drivers\etc\”路径下。
2. 在hosts文件添加如图6 追加记录内容,前面的IP地址即在步骤2中获取的WAF回 源IP地址,后面的域名即被防护的域名。
图4-24 追加记录
用户指南 4 网站接入 WAF(云模式)
图4-25 ping 域名
预期此时解析到的IP地址应该是2中绑定的WAF回源IP地址。如果依然是源站地 址,可尝试刷新本地的DNS缓存(Windows的cmd下可以使用ipconfig/flushdns 命令)。
----结束
验证 WAF 转发正常
步骤1 清理浏览器缓存,在浏览器中输入防护域名,测试网站域名是否能正常访问。
如果hosts绑定已经生效(域名已经本地解析为WAF回源IP)且WAF的配置正确,访问 该域名,预期网站能够正常打开。
步骤2 手动模拟简单的Web攻击命令,测试Web攻击请求。
1. 将Web基础防护的状态设置为“拦截”模式,具体方法请参见配置Web基础防护 规则。
2. 清理浏览器缓存,在浏览器中输入模拟SQL注入攻击的测试域名,测试WAF是否 拦截了此条攻击,如图4-26所示。
图4-26 访问被拦截
3. 在左侧导航树中,选择“防护事件”,进入“防护事件”页面,查看防护域名测 试的各项数据,如图4-27所示。
图4-27 查看测试数据
----结束