文档首页/ Web应用防火墙 WAF/ 快速入门/ 通过黑白名单设置拦截网站恶意IP流量
更新时间:2024-10-23 GMT+08:00
查看PDF
分享

通过黑白名单设置拦截网站恶意IP流量

WAF默认放行所有的IP地址,如果您发现您的网站存在恶意IP访问,可通过WAF的黑白名单设置规则拦截恶意IP。

本场景以WAF云模式-ELB接入方式为例,介绍如何通过黑白名单设置规则拦截恶意IP流量。

  • 接入方式:云模式-ELB接入
  • 防护对象:域名/IP
  • 计费模式:包年/包月
  • 版本规格:标准版
  • 防护策略:黑白名单设置

操作流程

操作步骤

说明

准备工作

注册华为账号、开通华为云,并为账户充值、赋予WAF权限。

步骤一:购买WAF云模式标准版

购买WAF,选择业务防护区域、WAF模式等信息。

步骤二:将防护网站通过ELB接入方式添加到WAF

将防护网站添加到WAF防护,实现WAF流量检测。

步骤四:配置黑白名单设置规则拦截恶意IP

通过黑白名单设置规则拦截恶意IP。

准备工作

  1. 在购买Web应用防火墙之前,请先注册华为账号并开通华为云。具体操作详见注册华为账号并开通华为云实名认证

    如果您已开通华为云并进行实名认证,请忽略此步骤。

  2. 请保证账户有足够的资金,以免购买Web应用防火墙失败。
  3. 请确保已为账号赋予相关WAF权限。具体操作请参见创建用户组并授权使用WAF
    表1 WAF系统角色

    系统角色/策略名称

    描述

    类别

    依赖关系

    WAF Administrator

    Web应用防火墙服务的管理员权限。

    系统角色

    依赖Tenant Guest和Server Administrator角色。

    • Tenant Guest:全局级角色,在全局项目中勾选。
    • Server Administrator:项目级角色,在同项目中勾选。

    WAF FullAccess

    Web应用防火墙服务的所有权限。

    系统策略

    无。

    WAF ReadOnlyAccess

    Web应用防火墙的只读访问权限。

    系统策略

步骤一:购买WAF云模式标准版

购买了云模式标准版、专业版或铂金版后,才支持使用ELB接入方式。本节以购买WAF云模式标准版本为例进行介绍。

  1. 登录华为云管理控制台
  2. 在控制台页面中选择安全与合规 > Web应用防火墙 WAF,进入Web应用防火墙控制台。
  3. 在页面右上角,单击“购买WAF实例”,进入购买页面,参考如下配置,完成WAF实例的购买。
    表2 购买参数说明

    参数

    示例

    说明

    WAF模式

    云模式

    购买WAF后,可提交工单,开通云模式-ELB接入,可防护部署在华为云上的Web业务,防护对象为域名/IP。

    计费模式

    包年/包月

    预付费模式,按订单的购买周期计费,适用于可预估资源使用周期的场景,价格比按需计费模式更优惠。

    区域

    中国-香港

    根据防护业务的所在区域就近选择购买的WAF区域。

    版本规格

    标准版

    可防护中小型网站。
  4. 确认参数配置无误后,在页面右下角单击“立即购买”
  5. 确认订单详情无误后,阅读并勾选《Web应用防火墙免责声明》,单击“去支付”,完成购买操作。
  6. 进入“付款”页面,选择付款方式进行付款。

购买完成后,提交工单申请开通云模式的ELB接入。

步骤二:将防护网站通过ELB接入方式添加到WAF

  1. 创建独享型负载均衡器

    • “规格”选择“应用型(HTTP/HTTPS)”
    • 其他参数根据业务需要进行配置。

  2. 1中创建的负载均衡添加监听器,详细操作请参见添加HTTP监听器添加HTTPS监听器
  3. 创建后端服务器组

    • “所属负载均衡器”:选择“关联已有”,并在下拉框中选择1中创建的负载均衡器。
    • 后端服务器配置为8中需要添加到WAF中的网站对应的服务器地址。

  4. 单击页面左上方的,选择安全与合规 > Web应用防火墙 WAF
  5. 在左侧导航树中,选择“网站设置”,进入“网站设置”页面。
  6. 在网站列表左上角,单击“添加防护网站”
  7. 选择“云模式-ELB接入”,并单击“开始配置”
  8. “添加防护网站”页面,配置信息如图1所示。

    • ELB(负载均衡器):选择的ELB,需要确认防护网站对应的服务器地址已添加到该ELB。
    • ELB监听器:“所有监听器”
    • 防护域名:需要通过WAF防护的域名或IP,此处以“www.example.com”为例。
    • 策略配置:系统自动生成策略。
    图1 域名配置信息

  9. 单击“确认”

步骤四:配置黑白名单设置规则拦截恶意IP

  1. 在左侧导航树中,选择“防护策略”,进入“防护策略”页面。
  2. 单击目标策略名称,进入目标策略的防护配置页面。
  3. 选择“黑白名单设置”配置框,开启黑白名单设置策略。

    • :开启状态。
    • :关闭状态。

  4. “黑白名单设置”规则配置列表上方,单击“添加规则”,按照如图2所示进行配置。

    • IP/IP段或地址组:IP/IP段。如果您需要拦截多个IP,可选择“地址组”
    • IP/IP段:根据实际情况配置需要拦截的IP或IP段,示例:192.168.2.1。
    • 防护动作:拦截。
    图2 拦截指定IP

  5. 单击“确认”,完成配置。

相关信息