本地接入驗證

為確保網站業務的連續性，推薦您在接入WAF前做本地可用性驗證。

本地接入步驟

以域名portal.damddos.com為例，具體操作步驟如下：

1. 獲取CNAME值，您可以通過添加配置后在WAF防護配置列表中獲取WAF生成的CNAME記錄值。

   如下圖所示，portal.damddos.com域名已添加到WAF的網站配置中，WAF為其分配了CNAME值：portal.damddos.com.iname.damddos.com。

   

2. 獲取WAF的回源IP，ping“CNAME”值并記錄“CNAME”對應的IP地址。

   在Windows中打開cmd命令行工具，運行 ping portal.damddos.com.iname.damddos.com 獲取WAF的回源IP。

   如下圖所示，在響應結果中可以看到用來防護您的域名的WAF回源IP。

   

3. 在本地修改hosts文件，將域名及“CNAME”對應的WAF回源IP添加到“hosts”文件。

   1. 用記事本或notepad++等文本編輯器打開hosts文件，hosts文件一般位于“C: \Windows\System32\drivers\etc\”路徑下。

   2. 在hosts文件添加記錄內容，對應的IP地址即在上述步驟中獲取的云WAF防護IP地址，后面的域名即被防護的域名。

      

   3. 修改hosts文件后保存，然后本地ping一下被防護的域名。

      

      此時解析到的IP地址應該是上述步驟中配置的WAF防護IP地址。

      如果依然是源站地址，可嘗試刷新本地的DNS緩存（Windows的cmd下可以使用 ipconfig/flushdns命令）。

      

驗證WAF正常轉發

1. 清理瀏覽器緩存，在瀏覽器中輸入防護域名，測試網站域名是否能正常訪問。

   如果hosts綁定已經生效（域名已經本地解析為云WAF防護IP）且云WAF的配置正確，訪問該域名，預期網站能夠正常打開。

2. 手動模擬簡單的Web攻擊命令，測試Web攻擊請求是否被攔截。

   1. 將Web基礎防護的狀態默認設置為“攔截”模式。

   2. 清理瀏覽器緩存，在瀏覽器中輸入“//portal.damddos.com/url/ril/ashi.asp=javascript:alert(/xss/)”模擬SQL注入攻擊，測試WAF是否攔截了此條攻擊，如下圖所示。

      

3. 在Web應用防火墻控制臺左側導航欄，選擇“WAF防護日志”，進入“WAF防護日志”頁面，查看防護域名測試的各項數據，如下圖所示。

   

   至此，本地可用性驗證完成，防護功能正常，可以正式將網站接入WAF。

域名接入方法

域名接入主要分為以下步驟：

1. 購買云WAF實例。

2. 添加防護域名，詳細操作請參見添加防護域名實例。

3. 接入WAF。

   1. 將WAF回源IP地址網段加入本地安全設備（如有）白名單。

   2. 修改域名解析記錄為WAF提供的CNAME記錄。
       對于同一個主機記錄，CNAME解析記錄值與其他DNS解析記錄類型（如A記錄、AAAA記錄等）存在沖突。添加WAF所分配的指定CNAME記錄值前，請先刪除存在沖突的其他類型記錄值。

      DNS記錄沖突對應關系請參考如下表格：

      記錄類型	NS	CNAME	A	URL	MX	TXT	AAAA	SRV	CAA
      NS	可重復	沖突	沖突	沖突	沖突	沖突	沖突	沖突	沖突
      CNAME	沖突	可重復	沖突	沖突	沖突	沖突	沖突	沖突	沖突
      A	沖突	沖突	可重復	沖突	不沖突	不沖突	不沖突	不沖突	不沖突
      URL	沖突	沖突	沖突	沖突	不沖突	不沖突	沖突	不沖突	不沖突
      MX	沖突	沖突	不沖突	不沖突	可重復	不沖突	不沖突	不沖突	不沖突
      TXT	沖突	沖突	不沖突	不沖突	不沖突	可重復	不沖突	不沖突	不沖突
      AAAA	沖突	沖突	不沖突	沖突	不沖突	不沖突	可重復	不沖突	不沖突
      SRV	沖突	沖突	不沖突	不沖突	不沖突	不沖突	不沖突	可重復	不沖突
      CAA	沖突	沖突	不沖突	不沖突	不沖突	不沖突	不沖突	不沖突	可重復

4. 等待DNS配置修改生效，驗證網站解析及業務是否正常。

   以portal.damddos.com為例，通過cmd控制臺ping命令，測試結果中域名解析至以iname.damddos.com結尾的CNAME上，說明網站可以正常訪問，域名已正式接入防護。

   

域名解析修改常見問題

CNAME解析變更提示沖突怎么辦？

對于同一個主機記錄，CNAME解析記錄值建議只填寫一個。不同DNS解析記錄類型間存在沖突。例如，對于同一個主機記錄，CNAME記錄與A記錄、MX記錄、TXT記錄等其他記錄互相沖突。在無法直接修改記錄類型的情況下，您可以先刪除存在沖突的其他記錄，再添加WAF指定的CNAME記錄。

如何在萬網中修改域名DNS?

1. 登錄萬網。

2. 將您原來的域名CNAME修改為云WAF提供的域名。

   
   
   
   
   

3. 修改完成后點擊“提交”，完成修改。

如何在DNSPOD修改CNAME？

1. 在您域名的DNS服務商處，修改域名的DNS配置記錄。
   
2. 找到要使用云WAF服務的主機記錄，將記錄類型修改為CNAME。
   
3. 將記錄值修改為WAF為您提供的對應的服務域名。
   
4. 點擊“保存”，并耐心等待生效，CNAME修改生效更新時間預計10-20分鐘。

如何知道我的域名解析服務商是誰？

可以在//www.whois.net中輸入您的網站域名即可查看。