通过黑/白名单拦截/放行VPC边界流量

黑白名单规则说明

黑白名单规则的防护对象、防护动作，以及应用场景说明如下：

规格限制

• 云防火墙最多支持配置2000条黑名单和2000条白名单。
  • 当您需要配置的黑名单IP超出限制时，可通过流量封堵功能实现快速拦截，具体操作请参见通过流量封堵快速拦截恶意流量。
  • 当您需要配置的白名单IP超出限制时，可通过添加IP地址组，并在防护规则中引用的方式实现放行效果。添加IP地址组请参见添加自定义地址组。
• 私网IP防护，需满足专业版防火墙且开启VPC边界防火墙防护。

系统影响

• 将IP或IP地址段配置为黑名单/白名单后，来自该IP或IP地址段的访问，CFW将不会做任何检测，直接拦截（黑名单）/放行（白名单），您可以在日志查询中检索该IP或IP地址段查看访问情况和流量情况。
• 配置黑名单时，如果涉及地址转换或者存在代理的场景，需要谨慎评估拦截IP的影响。

通过黑名单拦截VPC边界流量

1. 登录CFW控制台。
2. 单击管理控制台左上角的，选择区域。
3. （可选）切换防火墙实例：在页面左上角的下拉框中切换防火墙。
4. 在云防火墙左侧导航栏中，选择“访问控制 > VPC边界防护规则”，进入“VPC边界防护规则”页面。
5. 选择“黑名单”页签后，单击“添加”，并在添加黑名单页面中，设置规则信息。

   表1 VPC边界黑名单

   参数名称	参数说明
   地址方向	选择“源地址”或“目的地址”。 源地址：设置会话发起方。 目的地址：设置会话接收方。
   协议类型	协议类型当前支持：TCP、UDP、ICMP、Any。
   端口	“协议类型”选择“TCP”或“UDP”时，设置需要放行或拦截的端口。 如您需设置该IP地址的全部端口，可配置“端口”为“1-65535”。 如您需设置某个端口，可填写为单个端口。例如放行/拦截该IP地址22端口的访问，则配置“端口”为“22”。 如您需设置某个范围的端口，可填写为连续端口组，中间使用“-”隔开。例如放行/拦截该IP地址80-443端口的访问，则配置“端口”为“80-443”。
   IP地址列表	自定义IP地址：在输入框中输入单个或多个IP地址，单击“解析”，将IP地址加入列表中。 预定义地址组：单击“添加预定义地址组”，在弹出的对话框中选择地址组，预定义地址组介绍请参见预定义地址组。 注意： “WAF回源IP地址组”添加至黑/白名单后，如果回源IP改变，您需手动修改对应黑/白名单中的IP地址。
   描述	（可选）设置该黑名单的备注信息。

6. 单击“确认”，完成添加。

通过白名单放行VPC边界流量

1. 登录CFW控制台。
2. 单击管理控制台左上角的，选择区域。
3. （可选）切换防火墙实例：在页面左上角的下拉框中切换防火墙。
4. 在云防火墙左侧导航栏中，选择“访问控制 > VPC边界防护规则”，进入“VPC边界防护规则”页面。
5. 选择“白名单”页签后，单击“添加”，并在添加白名单页面中，设置规则信息。

   表2 VPC边界白名单

   参数名称	参数说明
   地址方向	选择“源地址”或“目的地址”。 源地址：设置会话发起方。 目的地址：设置会话接收方。
   协议类型	协议类型当前支持：TCP、UDP、ICMP、Any。
   端口	“协议类型”选择“TCP”或“UDP”时，设置需要放行或拦截的端口。 如您需设置该IP地址的全部端口，可配置“端口”为“1-65535”。 如您需设置某个端口，可填写为单个端口。例如放行/拦截该IP地址22端口的访问，则配置“端口”为“22”。 如您需设置某个范围的端口，可填写为连续端口组，中间使用“-”隔开。例如放行/拦截该IP地址80-443端口的访问，则配置“端口”为“80-443”。
   IP地址列表	自定义IP地址：在输入框中输入单个或多个IP地址，单击“解析”，将IP地址加入列表中。 预定义地址组：单击“添加预定义地址组”，在弹出的对话框中选择地址组，预定义地址组介绍请参见预定义地址组。 注意： “WAF回源IP地址组”添加至黑/白名单后，如果回源IP改变，您需手动修改对应黑/白名单中的IP地址。
   描述	（可选）设置该白名单的备注信息。

6. 单击“确认”，完成添加。

相关文档

• 编辑和删除黑白名单请参见管理黑/白名单。
• 批量添加黑白名单请参见导入/导出防护策略。
• 快速导入大量黑名单请参见通过流量封堵快速拦截恶意流量。

• 添加更精细化的访问控制您可以配置防护规则，请参见通过防护规则拦截/放行VPC边界流量。
• 拦截恶意攻击请参见攻击防御。