阿里云waf服务部署上线前的验收测试清单与注意事项

1.

验收测试目的与范围

（1）目的：确认阿里云WAF策略与业务规则在生产环境可用并可持续承受流量。
（2）范围：前端域名、反向代理NAT、负载均衡、后端主机（VPS/物理机）和CDN回源链路。
（3）目标系统：Web服务器（Nginx/Apache）、应用层（PHP/Java）、缓存层（Redis/ memcached）。
（4）包含要点：功能验证、性能/压力、稳定性、误报率、安全事件溯源。
（5）输出物：测试记录、性能曲线图、误报清单与最终验收报告（含截图与日志样本）。

2.

部署前环境与基础配置核查

（1）域名与DNS：确认域名A/CNAME记录指向WAF或CDN，TTL建议设置为300秒用于快速回滚。
（2）证书与HTTPS：前端证书（泛域/单域）是否已上传至阿里云证书管理并绑定，支持TLS1.2/1.3。
（3）回源与端口：回源地址、端口（80/443/自定义）配置正确，回源白名单包含WAF或CDN出口IP段。
（4）主机配置：示例配置：4核2.5GHz vCPU、16GB RAM、Ubuntu 20.04、Nginx1.18，确认内核网络参数（net.core.somaxconn=65535）。
（5）日志与监控：开启WAF访问日志、拦截日志，配置云监控（CPU、内存、网络吞吐、404/5xx）。

3.

功能性测试项（逐条校验）

（1）规则生效性：验证常规规则、SQL注入、XSS、命令执行、文件上传过滤是否触发并记录。
（2）白名单/黑名单测试：对限定IP做白名单验证、对可疑IP做黑名单封禁并观察是否阻断回源访问。
（3）会话与Cookie策略：测试大Cookie、异常Header、分片上传等是否按策略处理。
（4）API与长连接：对REST接口、WebSocket或长轮询接口做功能测试，确认不会误拦截。
（5）动静分离与缓存控制：验证CDN缓存与WAF规则组合对静态资源（图片、JS、CSS）缓存命中率及回源流量的影响。

4.

性能与压力测试（含示例数据）

（1）测试环境：使用压力机（如wrk/ApacheBench/locust）从外网接入，考虑地域多点并发。
（2）目标指标：并发连接数、RPS、95/99延迟、CPU/内存峰值、错误率（5xx/4xx）。
（3）基线测试：先在不启用WAF时测基线，再启用WAF比较性能差异（RPS下降不超过10%为可接受参考）。
（4）压力梯度：建议做3档测试：常态（1k RPS）、峰值（10k RPS）、攻击模拟（50k RPS/突发）。
（5）示例测试结果表（中心对齐，带边框）：

测试项	并发数	平均RPS	CPU峰值	95%响应时间
基线（无WAF）	2000	1,800	45%	180ms
启用WAF（规则集中）	2000	1,620	62%	220ms
峰值压力（含规则）	10000	8,500	88%	420ms

5.

稳定性与容错验证

（1）后端故障切换：模拟单个后端宕机，验证负载均衡与健康检查是否将流量切走并且WAF不中断服务。
（2）配置下发回滚：在WAF下发策略后做回滚测试，验证回滚时间与业务影响（建议回滚时间<5分钟）。
（3）带宽突发与清洗测试：模拟带宽突发到达DDoS阈值，确认清洗启用后业务可用率与回源带宽变化。
（4）资源自愈与告警：触发高CPU/内存告警，检查告警通知是否及时到达运维群与工单系统。
（5）长期稳定性：至少72小时在线观测，记录异常重试率、连接重置情况与内存泄漏证据。

6.

安全检测与误报率评估

（1）误报统计：通过模拟正常业务请求样本（1万条）跑WAF并统计误报率，目标误报率≤1%。
（2）异常样本检测：使用已知攻击载荷（SQLi、XSS、文件包含）做命中率验证，目标阻断率≥99%。
（3）溯源与日志保存：确认WAF拦截日志包含原始请求、拦截规则ID、时间戳、源IP等，保存周期建议不少于90天。
（4）告警与SOC联动：验证拦截事件能触发告警并送入SIEM/SOC，包含自动拉起工单的能力。
（5）规则版本与更新：记录内置规则数量（示例：内置规则2,400条，自定义规则120条），检查规则发布频率与回滚机制。

7.

与CDN及DDoS防护的协同测试

（1）回源策略：验证CDN回源Host与WAF回源IP一致，确保回源头部（X-Forwarded-For）传递真实客户端IP。
（2）缓存与清洗策略：测试静态资源由CDN直接返回，只有回源请求经过WAF，统计回源QPS下降比例（示例：回源QPS从5,000降至200）。
（3）DDoS门槛配置：示例阈值：入带阈值5Gbps开始清洗，突发清洗响应时间≤60秒。
（4）地域分发：多地域节点下做并发测试，验证跨地域调度与清洗能力是否一致。
（5）第三方联动：若使用云上DDoS高防，验证高防与WAF的流量链路、黑洞策略与回源白名单是否冲突。

8.

上线注意事项与验收报告示例（含真实案例）

（1）最终检查清单：证书、DNS TTL、回源白名单、监控面板、告警人列表、回滚流程文档。
（2）SLA/SLO约定：示例SLO：95%请求响应时间<300ms，可用率≥99.95%。
（3）真实案例：某电商双十一场景：后端配置为8核16GB x4台，Nginx 1.18 + PHP-FPM，启用阿里云WAF与CDN后峰值观测：120k RPS，WAF累计阻断SQLi注入432次，回源带宽峰值从8Gbps下降到0.6Gbps，业务95%响应时间稳定在220ms内。
（4）交付清单示例：WAF规则清单（含规则ID）、误报/漏报修正记录、性能曲线PNG、压力测试日志、运维应急联络表。
（5）上线后建议：首72小时高频监控（每5分钟检查），并在首周进行一次完整回溯与误报调整，30日后进行规则再评估与策略优化。