更新时间:2025-05-15 GMT+08:00

配置IP黑白名单规则拦截/放行指定IP

您可以通过配置黑白名单规则,阻断、仅记录或放行指定IP地址/IP地址段的访问请求,白名单规则优先级高于黑名单规则。配置黑白名单规则时,WAF支持单个添加或通过引用地址组批量导入黑白名单IP地址/IP地址段。

前提条件

已添加防护网站。

约束条件

  • WAF支持批量导入黑白名单,如果您需要配置多个IP/IP地址段规则,请添加地址组,详细操作请参见添加黑白名单IP地址组
  • WAF黑白名单规则不支持配置0.0.0.0/0 IP地址段,且白名单规则优先级高于黑名单规则。如果您需要放行某个网段指定的IP并拦截某个网段其他所有IP,请先添加黑名单规则,拦截该网段的所有IP,然后添加白名单规则,放行指定IP。
  • 当黑白名单规则的“防护动作”设置为“拦截”时,您可以配置攻击惩罚标准自动封禁访问者指定时长,但攻击惩罚的“拦截类型”不支持选择“长时间IP拦截”“短时间IP拦截”。配置攻击惩罚后,如果访问者的Cookie或Params恶意请求被拦截时,WAF将根据攻击惩罚设置的拦截时长来封禁访问者。
  • 添加或修改防护规则后,规则生效需要等待几分钟。规则生效后,您可以在“防护事件”页面查看防护效果。

系统影响

将IP或IP地址段配置为黑名单/白名单后,来自该IP或IP地址段的访问,WAF将不会做任何检测,直接拦截/放行。

配置IP黑白名单规则

  1. 登录管理控制台。
  2. 在管理控制台左上角,单击,选择区域或项目。
  3. 在页面左上方,单击,选择安全 > Web应用防火墙 WAF
  4. 在左侧导航栏,单击“防护策略”
  5. 单击目标策略名称,进入目标策略的防护配置页面。
  6. “黑白名单设置”配置框中,用户可根据自己的需要更改“状态”,单击“自定义黑白名单设置规则”,进入黑白名单设置规则页面。

    图1 黑白名单配置框

  7. “黑白名单设置”配置列表的左上方,单击“添加规则”
  8. “添加黑白名单设置规则”面板,添加黑白名单规则,参数说明如表1所示。

    • 将IP配置为仅记录后,来自该IP的访问,WAF将根据防护规则进行检测并记录该IP的防护事件数据。
    • 其他的IP将根据配置的WAF防护规则进行检测。
    图2 添加黑白名单规则
    表1 黑白名单参数说明

    参数

    参数说明

    取值样例

    规则名称

    填写黑白名单规则的名字。

    waf

    规则描述(可选)

    填写黑白名单规则的备注信息。

    --

    IP/IP段或地址组

    支持添加黑白名单规则的方式,“IP/IP段”“地址组”

    IP/IP段

    IP/IP段

    “IP/IP段或地址组” 选择“IP/IP段”时需要设置该参数。

    支持IP地址或IP地址段。

    • IP地址:添加黑名单或者白名单的IP地址。
    • IP地址段:IP地址与子网掩码。

    XXX.XXX.2.3

    选择地址组

    “IP/IP段或地址组” 选择“地址组”时需要设置该参数,在下拉列表框中选择已添加的地址组。您也可以单击“添加地址组”创建新的地址组,详细操作请参见添加黑白名单IP地址组

    groupwaf

    防护动作

    • 拦截:IP地址或IP地址段设置的是黑名单且需要拦截,则选择“拦截”
    • 放行:IP地址或IP地址段设置的是白名单,则选择“放行”
    • 仅记录:需要观察的IP地址或IP地址段,可选择“仅记录”。再根据防护事件数据判断该IP地址或IP地址段是黑名单还是白名单。

    拦截

    攻击惩罚

    “防护动作”设置为“拦截”时,您可以设置攻击惩罚标准。设置攻击惩罚后,当访问者的Cookie或Params恶意请求被拦截时,WAF将根据惩罚标准设置的拦截时长来封禁访问者。

    说明:

    不支持选择“长时间IP拦截”“短时间IP拦截”

    长时间Cookie拦截

  9. 输入完成后,单击“确认”,添加的黑白名单展示在黑白名单规则列表中。

    • 完成以上配置后,您可以在防护规则列表查看已添加的规则。此时,“规则状态”默认为“已开启”
    • 如果您暂时不想使该规则生效,可在目标规则“操作”列,单击“关闭”
    • 您也可以在目标规则“操作”列,单击“删除”“修改”,删除或修改已添加的防护规则。

防护效果验证

假如已添加域名“www.example.com”,且参考表1的取值样例,配置了IP黑白名单防护规则。可参照以下步骤验证防护效果:

  1. 清理浏览器缓存,在浏览器中输入防护域名,测试网站域名是否能正常访问。

    • 不能正常访问,参照网站设置章节重新完成域名接入。
    • 能正常访问,执行2

  2. 参照配置IP黑白名单规则,将您的客户端IP配置为黑名单。
  3. 清理浏览器缓存,使用已配置的IP“192.168.2.3”在浏览器中访问“http://www.example.com”页面,正常情况下,WAF会阻断该IP的访问请求,返回拦截页面。
  4. 返回Web应用防火墙控制界面,在左侧导航树中,单击“防护事件”,进入“防护事件”页面,查看防护域名拦截日志。