waf
配置IP黑白名单规则
更新时间:2021/03/05 GMT+08:00
您可以通过Web应用防火墙服务配置黑白名单规则,阻断、仅记录或放行指定IP的访问请求,即设置IP黑/白名单。

如果您已开通企业项目,您可以在“企业项目”下拉列表中选择您所在的企业项目,为该企业项目下域名配置防护策略。
前提条件
已添加防护网站。
规格限制
检测版不支持该功能。
约束条件
- WAF黑白名单规则不支持配置0.0.0.0/0 IP地址段,且白名单规则优先级高于黑名单规则。如果您需要放行某个网段指定的IP并拦截某个网段其他所有IP,请先添加黑名单规则,拦截将该网段的所有IP,然后添加白名单规则,放行指定IP。
- 当黑白名单规则的“防护动作”设置为“拦截”时,您可以设置攻击惩罚。设置攻击惩罚后,如果访问者的IP、Cookie或Params恶意请求被拦截时,WAF将根据攻击惩罚设置的拦截时长来封禁访问者。有关配置攻击惩罚的详细操作,请参见配置攻击惩罚标准。
系统影响
将IP或IP地址段配置为黑名单/白名单后,来自该IP或IP地址段的访问,WAF将不会做任何检测,直接拦截/放行。
操作步骤
- 登录管理控制台。
- 进入防护策略配置入口,如图1所示。
- 在“黑白名单设置”配置框中,用户可根据自己的需要更改“状态”,单击“自定义黑白名单设置规则”,进入黑白名单设置规则页面,如图2所示。
- 在“黑白名单”设置规则页面左上角,单击“添加规则”。
- 在弹出的对话框中,添加黑白名单规则,如图3所示,参数说明如表1所示。
- 将IP配置为仅记录后,来自该IP的访问,WAF将根据防护规则进行检测并记录该IP的防护事件数据。
- 其他的IP将根据配置的WAF防护规则进行检测。
表1 黑白名单参数说明 参数
参数说明
取值样例
IP地址或IP地址段
支持IPv4和IPv6格式的IP地址或IP地址段。
- IP地址:添加黑名单或者白名单的IP地址。
- IP地址段:IP地址与子网掩码。
须知:当前仅“华东”区域支持IPv6防护,且仅企业版和旗舰版支持IPv6。
- IPv4格式:
- 192.168.2.3
- 10.1.1.0/24
- IPv6格式:1050:0:0:0:5:600:300c:326b
防护动作
- 拦截:IP地址或IP地址段设置的是黑名单且需要拦截,则选择“拦截”。
- 放行:IP地址或IP地址段设置的是白名单,则选择“放行”。
- 仅记录:需要观察的IP地址或IP地址段,可选择“仅记录”。再根据防护事件数据判断该IP地址或IP地址段是黑名单还是白名单。
拦截
攻击惩罚
当“防护动作”设置为“拦截”时,您可以设置攻击惩罚标准。设置攻击惩罚后,当访问者的IP、Cookie或Params恶意请求被拦截时,WAF将根据惩罚标准设置的拦截时长来封禁访问者。
长时间IP拦截
规则描述
可选参数,设置该规则的备注信息。
--
- 输入完成后,单击“确认添加”,添加的黑白名单展示在黑白名单规则列表中。图4 黑白名单规则列表
- 规则添加成功后,默认的“规则状态”为“已开启”,若您暂时不想使该规则生效,可在目标规则所在行的“操作”列,单击“关闭”。
- 若需要修改添加的黑白名单规则时,可单击待修改的黑白名单IP规则所在行的“修改”,修改黑白名单规则。
- 若需要删除添加的黑白名单规则时,可单击待删除的黑白名单IP规则所在行的“删除”,删除黑白名单规则。
父主题: 配置防护规则
