在修改 DNS 解析前,建议通过本地测试验证 Web 应用防火墙(WAF)的线路连通性与防护功能,避免直接调整公网 DNS 记录导致生产业务中断。本文档指导您通过修改本地 hosts 文件实现流量定向测试。
操作步骤
1. 登录 Web 应用防火墙控制台,在左侧导航栏顶部将控制台切换至实例所在区域(中国大陆/非中国大陆)。
2.
在左侧导航栏中
,选择接入管理 > 域名接入,在域名列表的接入信息列查看 waf.example.com 的 CNAME 地址。
3.
复制
步骤 2 中获取的 CNAME 地址。打开终端命令窗口,执行以下命令获取对应域名的 VIP(虚拟 IP)地址:ping <CNAME地址>
命令返回的 IP 即为后续需绑定的 VIP 地址(例如 x.x.x.112)。
4.
将
步骤 3 获取的 VIP 地址与被防护域名绑定至本地 hosts 文件,格式为:<WAF VIP地址> 空格 <接入WAF的域名>。
Windows 系统
:找到C:\\Windows\\System32\\drivers\\etc\\hosts路径下的 hosts 文件,右键以管理员身份打开记事本,在该文件中添加绑定记录并保存。
Linux / macOS 系统:
普通用户:打开终端,执行以下命令编辑 hosts 文件:
sudo vi /etc/hosts
root 用户:打开终端,执行以下命令编辑 hosts 文件:
vi /etc/hosts
5. 验证线路连通性:
Windows / macOS 系统:在本地电脑浏览器中访问防护域名
waf.example.com,若站点正常打开,说明 WAF 到源站的线路连通性正常。Linux 系统:执行以下命令,检查是否能正常获取站点响应(状态码为 200或业务正常响应码):
curl -I http://waf.example.com
返回 HTTP 状态码(如 200 OK),表示线路连通正常。
6. 验证防护功能:
Window / macOS 系统:在浏览器地址栏输入测试 URL
http://waf.example.com/?test=alert(123)并访问,若浏览器返回 WAF 阻断页面,说明防护功能生效。Linux 系统:执行以下命令,发送包含测试攻击参数(如 alert(123))的请求,观察返回结果:
curl "http://waf.example.com/?test=alert(123)"
返回 HTTP 拦截页面内容(如 403 Forbidden状态码或 WAF 默认阻断提示信息),表示防护生效。
7. 完成测试后,务必删除在 hosts 文件中新增的绑定记录(即步骤 4 中添加的 VIP 与域名映射)。
注意:
若未及时清理,可能导致本地访问防护域名时出现异常。
后续步骤
当您完成本地测试后,可执行如下步骤:
