文档首页/ Web应用防火墙 WAF/ 用户指南/ 配置防护策略/ 配置防护规则/ 配置IP黑白名单规则拦截/放行指定IP
更新时间:2025-08-19 GMT+08:00
查看PDF
分享

配置IP黑白名单规则拦截/放行指定IP

IP地址默认全部放行,如果您希望对访问IP做访问控制,您可以通过配置黑白名单规则,阻断、仅记录或放行指定IP地址/IP地址段的访问请求,白名单规则优先级高于黑名单规则。配置黑白名单规则时,WAF支持单个添加或通过引用地址组批量导入黑白名单IP地址/IP地址段。

  • 将IP配置为仅记录后,来自该IP的访问,WAF将根据防护规则进行检测并记录该IP的防护事件数据。
  • 其他的IP将根据配置的WAF防护规则进行检测。

前提条件

约束条件

  • 云模式入门版不支持该功能。
  • 通过“云模式-ELB接入”方式添加网站时,ELB配置的监听器中使用的“前端协议”为TCP、UDP、QUIC时,使用该规则不生效。
  • WAF支持批量导入黑白名单,如果您需要配置多个IP/IP地址段规则,请添加地址组,详细操作请参见添加黑白名单IP地址组
  • 云模式仅专业版和企业版支持IPv6地址/IPv6地址段。
  • 如果独享模式/云模式-ELB接入所在的ELB支持IPv6,独享模式/云模式-ELB接入也支持IPv6地址/IPv6地址段。
  • WAF黑白名单规则支持配置0.0.0.0/0 和::/0 IP地址段,分别实现IPv4全流量拦截和IPv6全流量拦截。白名单规则优先级高于黑名单规则,如果您需要放行某个网段指定的IP并拦截某个网段其他所有IP,请先添加黑名单规则,拦截该网段的所有IP,然后添加白名单规则,放行指定IP。

    如果您需要拦截所有来源IP或仅允许指定IP访问防护网站,也可以参见拦截所有来源IP或仅允许指定IP访问防护网站,如何配置?进行配置。

  • 当黑白名单规则的“防护动作”设置为“拦截”时,您可以配置攻击惩罚标准自动封禁访问者指定时长,但攻击惩罚的“拦截类型”不支持选择“长时间IP拦截”“短时间IP拦截”。配置攻击惩罚后,如果访问者的Cookie或Params恶意请求被拦截时,WAF将根据攻击惩罚设置的拦截时长来封禁访问者。
  • 添加或修改防护规则后,规则生效需要等待几分钟。规则生效后,您可以在“防护事件”页面查看防护效果。

规格限制

  • 云模式各版本、独享模式支持创建的IP黑白名单规则条数请参见服务版本差异
  • 如果您购买了云模式,当前版本的IP黑白名单防护规则条数不能满足要求时,您可以通过购买规则扩展包或升级云模式版本增加IP黑白名单防护规则条数,以满足的防护配置需求。

    一个规则扩展包包含10条IP黑白名单防护规则。有关升级规则的详细操作,请参见升级WAF云模式版本和规格

系统影响

将IP或IP地址段配置为黑名单/白名单后,来自该IP或IP地址段的访问,WAF将不会做任何检测,直接拦截/放行。

配置IP黑白名单规则

  1. 登录Web应用防火墙控制台
  2. 在控制台左上角,单击图标,选择区域或项目。
  3. (可选) 如果您已开通企业项目,在左侧导航栏上方,单击“按企业项目筛选”下拉框,选择您所在的企业项目。完成后,页面将为您展示该企业项目下的相关数据。
  4. 在左侧导航栏,单击“防护策略”
  5. 单击目标策略名称,进入目标策略的防护规则配置页面。

    在配置防护规则前,请确认目标防护策略已绑定防护域名,即绑定策略生效目标。一条防护策略可以适用于多个防护域名,但一个防护域名只能绑定一个防护策略。

  6. 单击“黑白名单设置”配置框,确认已开启黑白名单设置防护规则。

    :开启状态。

  7. “黑白名单设置”配置列表的左上方,单击“添加规则”
  8. “添加黑白名单设置规则”面板,添加黑白名单规则,如图1图2所示,参数说明如表1所示。

    图1 添加单个IP/IP地址段黑白名单规则

    图2 批量添加IP/IP地址段黑白名单规则
    表1 黑白名单参数说明

    参数

    参数说明

    取值样例

    规则名称

    填写黑白名单规则的名字。

    waf

    规则描述(可选)

    填写黑白名单规则的备注信息。

    --

    IP/IP段或地址组

    选择添加IP黑白名单规则的方式,支持“IP/IP段”“地址组”

    IP/IP段

    IP/IP段

    “IP/IP段或地址组” 选择“IP/IP段”时,需要填写要加入黑白名单规则的IP或IP段。

    • IP:添加黑名单或者白名单的IP地址。
    • IP段:IP地址与子网掩码。

    “IP/IP段”支持IPv4和IPv6格式。

    说明:

    仅专业版和企业版支持IPv6防护。
    • IPv4格式:
      • 192.168.2.3
      • 10.1.1.0/24
    • IPv6格式:
      • fe80:0000:0000:0000:0000:0000:0000:0000
      • ::/0

    地址组管理

    “IP/IP段或地址组” 选择“地址组”时,需要创建或选择已有地址组。

    1. (可选)单击“添加地址组”,填写地址组名称、IP/IP段、描述信息。

      如果已有地址组,可跳过该步骤,在地址组列表选择已添加的地址组。

      • 如果已有地址组不满足业务需求,单击“操作”列的“修改”,修改已有地址组。
      • 如果您不再需要某个地址组,解除地址组与黑白名单规则的关联关系后,单击“操作”列的“删除”,删除已有地址组。
      • 此处添加的地址组会同步到“地址组管理”中。更多信息,请参见管理黑白名单IP地址组
    2. 选择一个已添加的地址组。

    --

    防护动作

    设置请求命中规则时要执行的处置动作:

    • 拦截:如果要将IP、IP段设置为黑名单,则“防护动作”选择“拦截”,表示拦截来自IP、IP段的请求。

      “防护动作”选择“拦截”时,支持配置针对访问者的IP、Cookie或Params的长时间拦截规则、短时间拦截规则。当请求命中规则时,WAF会根据攻击惩罚自动封禁访问者。更多信息,请参见配置攻击惩罚标准封禁访问者指定时长

      IP黑名单不支持选择“长时间IP拦截”“短时间IP拦截”

    • 放行:如果要将IP、IP段设置为白名单,则“防护动作”选择“放行”,表示允许来自IP、IP段的请求。
    • 仅记录:如果只需要观察来自IP、IP段的请求,则“防护动作”选择“仅记录”,表示来自IP、IP段的请求,再根据防护事件数据判断该IP地址或IP地址段是黑名单还是白名单。

    拦截

    生效时间
    设置规则生效的时间。
    • 立即生效:防护规则开启后,规则立即生效。
    • 自定义:自定义规则生效时间段。

    立即生效

  9. 输入完成后,单击“确定”,添加的黑白名单展示在黑白名单规则列表中。

    完成以上配置后,您还可以执行以下操作:

    • 查看规则状态:在防护规则列表,查看已添加的规则。此时,“规则状态”默认为“已开启”
    • 关闭规则:如果您暂时不想使该规则生效,可在目标规则“操作”列,单击“关闭”
    • 删除或修改规则:您也可以在目标规则“操作”列,单击“删除”“修改”,删除或修改已添加的防护规则。
    • 验证防护效果
      1. 清理浏览器缓存,使用已配置的IP“192.168.2.3”在浏览器中访问“http://www.example.com”页面,正常情况下,WAF会阻断该IP的访问请求,返回拦截页面。
      2. “防护事件”页面,查看防护日志。

配置示例:放行指定IP

假如防护域名“www.example.com”已接入WAF,您可以参照以下操作步骤验证放行指定IP防护效果。

  1. 单击“黑白名单设置”配置框,确认已开启黑白名单设置防护规则。

    :开启状态。

  2. 添规则拦截所有来源IP。

    • 方法一:添加以下2条黑名单规则,拦截所有来源IP,如图3图4所示。
      图3 拦截1.0.0.0/1 IP地址段
      图4 拦截128.0.0.0/1 IP地址段
    • 方法二:添加一条精准访问防护规则,拦截所有访问请求,如图5所示。
      图5 拦截所有访问请求
    • 方法三:添加0.0.0.0/0 和::/0 IP地址段,可实现IPv4全流量拦截和IPv6全流量拦截。
      图6 IPv4全流量拦截
      图7 IPv6全流量拦截

  3. 参照图8示例添加黑白名单规则,放行指定IP,例如,192.168.2.3。

    图8 放行指定IP

  4. 清理浏览器缓存,在浏览器中访问“http://www.example.com”页面。

    当访问者的源IP不属于3中设置的放行IP地址时,WAF将拦截该访问请求,拦截页面示例如图9所示。

    图9 WAF拦截攻击请求

  5. 返回Web应用防火墙管理控制台,在左侧导航树中,单击“防护事件”,进入“防护事件”页面,您可以查看该防护事件。

配置视频

父主题: 配置防护规则

相关文档