通过黑白名单拦截/放行流量

开启防护后，云防火墙默认放行所有流量，您可以通过配置黑/白名单规则，拦截/放行IP地址的访问请求。

本文指导您添加单个黑白名单，如果需要批量添加黑白名单请参见导入/导出防护策略。

黑白名单策略的防护对象、防护动作，以及应用场景说明如下：

名称	说明
支持的防护对象	五元组 IP地址组
网络类型	公网IP 私网IP
防护后的动作	黑名单：直接拦截流量。白名单：流量被云防火墙放行，不再经过其它功能检测。
应用场景	黑名单：适用于已知恶意流量数据的情况。白名单：适用于明确可信IP地址的情况。注意：如果IP为Web应用防火墙（WAF）的回源IP，建议使用白名单或配置放行的防护规则，请谨慎配置黑名单规则，否则可能会影响您的业务。回源IP的相关信息请参见什么是回源IP？。配置防护规则请参见通过防护规则拦截/放行互联网边界流量。

云防火墙最多支持配置2000条黑名单和2000条白名单。
- 当您需要配置的黑名单IP超出限制时，可通过流量封堵功能实现快速拦截，具体操作请参见通过流量封堵快速拦截恶意流量。
- 当您需要配置的白名单IP超出限制时，可通过添加IP地址组，并在防护规则中引用的方式实现放行效果。
  - 添加IP地址组请参见添加自定义地址组。
  - 添加防护规则请参见通过防护规则拦截/放行互联网边界流量。
私网IP防护，需满足专业版防火墙且开启VPC边界防火墙防护。

将IP或IP地址段配置为黑名单/白名单后，来自该IP或IP地址段的访问，CFW将不会做任何检测，直接拦截（黑名单）/放行（白名单），您可以在日志查询中检索该IP或IP地址段查看访问情况和流量情况。
配置黑名单时，如果涉及地址转换或者存在代理的场景，需要谨慎评估拦截IP的影响。

单击“添加”，设置地址方向、IP地址、协议类型、端口，填写规则请参见表1。

表1 互联网边界黑/白名单
参数名称	参数说明
地址方向	选择“源地址”或“目的地址”。源地址：设置会话发起方。目的地址：设置会话接收方。
协议类型	协议类型当前支持：TCP、UDP、ICMP、Any。
端口	“协议类型”选择“TCP”或“UDP”时，设置需要放行或拦截的端口。如您需设置该IP地址的全部端口，可配置“端口”为“1-65535”。如您需设置某个端口，可填写为单个端口。例如放行/拦截该IP地址22端口的访问，则配置“端口”为“22”。如您需设置某个范围的端口，可填写为连续端口组，中间使用“-”隔开。例如放行/拦截该IP地址80-443端口的访问，则配置“端口”为“80-443”。
IP地址列表	自定义IP地址：在输入框中输入单个或多个IP地址，单击“解析”，将IP地址加入列表中。预定义地址组：单击“添加预定义地址组”，在弹出的对话框中选择地址组，预定义地址组介绍请参见预定义地址组。注意： “WAF回源IP地址组”添加至黑/白名单后，如果回源IP改变，您需手动修改对应黑/白名单中的IP地址。
描述	（可选）设置该黑/白名单的备注信息。

单击“添加”，设置地址方向、IP地址、协议类型、端口，填写规则请参见表2。

表2 VPC边界黑/白名单
参数名称	参数说明
地址方向	选择“源地址”或“目的地址”。源地址：设置会话发起方。目的地址：设置会话接收方。
协议类型	协议类型当前支持：TCP、UDP、ICMP、Any。
端口	“协议类型”选择“TCP”或“UDP”时，设置需要放行或拦截的端口。如您需设置该IP地址的全部端口，可配置“端口”为“1-65535”。如您需设置某个端口，可填写为单个端口。例如放行/拦截该IP地址22端口的访问，则配置“端口”为“22”。如您需设置某个范围的端口，可填写为连续端口组，中间使用“-”隔开。例如放行/拦截该IP地址80-443端口的访问，则配置“端口”为“80-443”。
IP地址列表	自定义IP地址：在输入框中输入单个或多个IP地址，单击“解析”，将IP地址加入列表中。预定义地址组：单击“添加预定义地址组”，在弹出的对话框中选择地址组，预定义地址组介绍请参见预定义地址组。注意： “WAF回源IP地址组”添加至黑/白名单后，如果回源IP改变，您需手动修改对应黑/白名单中的IP地址。
描述	（可选）设置该黑/白名单的备注信息。

提供反馈

提交成功！非常感谢您的反馈，我们会继续努力做到更好！您可在我的云声建议查看反馈及问题处理状态。

系统繁忙，请稍后重试

在使用文档中是否遇到以下问题

内容与产品页面不一致

内容不易理解

缺失示例代码

步骤不可操作

搜不到想要的内容

缺少最佳实践

意见反馈（选填）

0/500

请至少选择一项反馈信息并填写问题反馈

字符长度不能超过500

直接提交取消

如您有其它疑问，您也可以通过华为云社区问答频道来与我们联系探讨