配置IP黑白名单规则拦截/放行指定IP
IP地址默认全部放行,您可以通过配置黑白名单规则,阻断、仅记录或放行指定IP地址/IP地址段的访问请求,白名单规则优先级高于黑名单规则。配置黑白名单规则时,WAF支持单个添加或通过引用地址组批量导入黑白名单IP地址/IP地址段。
前提条件
- 已添加防护网站或已新增防护策略。
- 云模式-CNAME接入的接入方式参见将网站接入WAF防护(云模式-CNAME接入)章节。
- 云模式-ELB接入的接入方式参见 将网站接入WAF防护(云模式-ELB接入)章节。
- 独享模式的接入方式参见将网站接入WAF防护(独享模式)章节。
- 如果使用独享WAF,确保独享引擎已升级到最新版本,具体的操作请参见升级独享引擎实例。
约束条件
- 云模式入门版不支持该功能。
- 通过“云模式-ELB接入”方式添加网站时,ELB配置的监听器中使用的“前端协议”为TCP、UDP、QUIC时,使用该规则不生效。
- WAF支持批量导入黑白名单,如果您需要配置多个IP/IP地址段规则,请添加地址组,详细操作请参见添加黑白名单IP地址组。
- 云模式仅专业版和企业版支持IPv6地址/IPv6地址段。
- 如果独享模式/云模式-ELB接入所在的ELB支持IPv6,独享模式/云模式-ELB接入也支持IPv6地址/IPv6地址段。
- WAF黑白名单规则支持配置0.0.0.0/0 和::/0 IP地址段,分别实现IPv4全流量拦截和IPv6全流量拦截。白名单规则优先级高于黑名单规则,如果您需要放行某个网段指定的IP并拦截某个网段其他所有IP,请先添加黑名单规则,拦截该网段的所有IP,然后添加白名单规则,放行指定IP。
如果您需要拦截所有来源IP或仅允许指定IP访问防护网站,也可以请参见拦截所有来源IP或仅允许指定IP访问防护网站,如何配置?进行配置。
- 当黑白名单规则的“防护动作”设置为“拦截”时,您可以配置攻击惩罚标准自动封禁访问者指定时长,但攻击惩罚的“拦截类型”不支持选择“长时间IP拦截”和“短时间IP拦截”。配置攻击惩罚后,如果访问者的Cookie或Params恶意请求被拦截时,WAF将根据攻击惩罚设置的拦截时长来封禁访问者。
- 添加或修改防护规则后,规则生效需要等待几分钟。规则生效后,您可以在“防护事件”页面查看防护效果。
规格限制
- 云模式各版本、独享模式支持创建的IP黑白名单规则条数请参见服务版本差异。
- 如果您购买了云模式,当前版本的IP黑白名单防护规则条数不能满足要求时,您可以通过购买规则扩展包或升级云模式版本增加IP黑白名单防护规则条数,以满足的防护配置需求。
一个规则扩展包包含10条IP黑白名单防护规则。有关升级规则的详细操作,请参见升级WAF云模式版本和规格。
系统影响
将IP或IP地址段配置为黑名单/白名单后,来自该IP或IP地址段的访问,WAF将不会做任何检测,直接拦截/放行。
配置IP黑白名单规则
- 登录管理控制台。
- 在管理控制台左上角,单击
,选择区域或项目。
- 在页面左上方,单击
,选择 。
- 在左侧导航栏,单击“防护策略”。
- 如果您已开通企业项目,在左侧导航栏上方,单击“按企业项目筛选”下拉框,选择您所在的企业项目。完成后,页面将为您展示该企业项目下的相关数据。
- 单击目标策略名称,进入目标策略的防护配置页面。
- 选择“黑白名单设置”配置框,用户可根据自己的需要开启或关闭黑白名单策略。
:开启状态。
:关闭状态。
- 在“黑白名单设置”配置列表的左上方,单击“添加规则”。
- 在“添加黑白名单设置规则”面板,添加黑白名单规则,如图1和图2所示,参数说明如表1所示。
- 将IP配置为仅记录后,来自该IP的访问,WAF将根据防护规则进行检测并记录该IP的防护事件数据。
- 其他的IP将根据配置的WAF防护规则进行检测。
表1 黑白名单参数说明 参数
参数说明
取值样例
规则名称
填写黑白名单规则的名字。
waf
规则描述(可选)
填写黑白名单规则的备注信息。
--
IP/IP段或地址组
支持添加黑白名单规则的方式,“IP/IP段”或“地址组”。
IP/IP段
IP/IP段
当“IP/IP段或地址组” 选择“IP/IP段”时需要设置该参数。
支持IPv4和IPv6格式的IP地址或IP地址段。
- IP地址:添加黑名单或者白名单的IP地址。
- IP地址段:IP地址与子网掩码。
须知:仅专业版和企业版支持IPv6防护。
- IPv4格式:
- 192.168.2.3
- 10.1.1.0/24
- IPv6格式:
- fe80:0000:0000:0000:0000:0000:0000:0000
- ::/0
地址组管理
当“IP/IP段或地址组” 选择“地址组”时需要设置该参数。
- (可选)单击“添加地址组”,填写地址组名称、IP/IP段、描述信息。
如果已有地址组,可跳过该步骤,在地址组列表选择已添加的地址组。
说明:- 如果已有地址组不满足业务需求,单击“操作”列的“修改”,修改已有地址组。
- 如果您不再需要某个地址组,解除地址组与黑白名单规则的关联关系后,单击“操作”列的“删除”,删除已有地址组。
- 此处添加的地址组会同步到“地址组管理”中。更多信息,请参见管理黑白名单IP地址组。
- 选择一个已添加的地址组。
--
选择地址组
当“IP/IP段或地址组” 选择“地址组”时需要设置该参数,在下拉列表框中选择已添加的地址组。您也可以单击“添加地址组”创建新的地址组,详细操作请参见添加黑白名单IP地址组。
groupwaf
防护动作
- 拦截:IP地址或IP地址段设置的是黑名单且需要拦截,则选择“拦截”。
- 放行:IP地址或IP地址段设置的是白名单,则选择“放行”。
- 仅记录:需要观察的IP地址或IP地址段,可选择“仅记录”。再根据防护事件数据判断该IP地址或IP地址段是黑名单还是白名单。
拦截
攻击惩罚
当“防护动作”设置为“拦截”时,您可以设置攻击惩罚标准。设置攻击惩罚后,当访问者的Cookie或Params恶意请求被拦截时,WAF将根据惩罚标准设置的拦截时长来封禁访问者。
说明:不支持选择“长时间IP拦截”和“短时间IP拦截”。
长时间Cookie拦截
生效时间
可选择“立即生效”或自定义生效时间段。
当超过设置的生效结束时间后,该规则的“规则状态”为“已开启(未生效)”,您可以修改生效时间使规则重新生效或者删除该未生效规则。
立即生效
- 输入完成后,单击“确定”,添加的黑白名单展示在黑白名单规则列表中。
- 完成以上配置后,您可以在防护规则列表查看已添加的规则。此时,“规则状态”默认为“已开启”。
- 如果您暂时不想使该规则生效,可在目标规则“操作”列,单击“关闭”。
- 您也可以在目标规则“操作”列,单击“删除”或“修改”,删除或修改已添加的防护规则。
防护效果验证
假如已添加域名“www.example.com”,且参考表1的取值样例,配置了IP黑白名单防护规则。可参照以下步骤验证防护效果:
- 清理浏览器缓存,在浏览器中输入防护域名,测试网站域名是否能正常访问。
- 参照配置IP黑白名单规则,将您的客户端IP配置为黑名单。
- 清理浏览器缓存,使用已配置的IP“192.168.2.3”在浏览器中访问“http://www.example.com”页面,正常情况下,WAF会阻断该IP的访问请求,返回拦截页面。
- 返回Web应用防火墙控制界面,在左侧导航栏,单击“防护事件”,在“防护事件”页面,查看防护域名拦截日志。