配置地理位置访问控制规则拦截/放行特定区域请求

网站接入Web应用防火墙后，您可以设置地理位置访问控制规则，WAF通过识别客户端访问请求的来源区域，一键封禁来自特定区域的访问或者允许特定区域的来源IP的访问，解决部分地区高发的恶意请求问题。可针对指定国家、地区的来源IP自定义访问控制。

如果您仅允许某一地区的来源IP访问防护网站，请参见配置示例-仅允许某一地区来源IP访问请求进行配置。

如果您已开通企业项目，您需要在“企业项目”下拉列表中选择您所在的企业项目并确保已开通操作权限，才能为该企业项目下域名配置防护策略。

已添加防护网站或已新增防护策略。
- 云模式-CNAME接入的接入方式参见将网站接入WAF防护（云模式-CNAME接入）章节。
- 云模式-ELB接入的接入方式参见将网站接入WAF防护（云模式-ELB接入）章节。
- 独享模式的接入方式参见将网站接入WAF防护（独享模式）章节。
如果使用独享WAF，确保独享引擎已升级到最新版本，具体的操作请参见升级独享引擎实例。

在弹出的对话框中，添加地理位置访问控制规则，如图1所示，根据表1配置参数。

图1 添加地理位置访问控制规则

单击“确认”，添加的地理位置访问控制规则展示在地理位置访问控制规则列表中。
- 规则添加成功后，默认的“规则状态”为“已开启”，如果您暂时不想使该规则生效，可在目标规则所在行的“操作”列，单击“关闭”。
- 如果需要修改添加的地理位置访问控制规则时，可单击待修改的地理位置访问控制规则所在行的“修改”，修改地理位置访问控制规则。
- 如果需要删除添加的地理位置访问控制规则时，可单击待删除的地理位置访问控制规则所在行的“删除”，删除地理位置访问控制规则。

假如防护域名“www.example.com”已接入WAF，当您只允许某一地区的IP可以访问防护域名，例如，只允许来源“上海”地区的IP可以访问防护域名，请参照以下步骤处理。

添加一条地理位置访问控制规则，添加“上海”地区的“放行”防护动作。

图2 添加“放行”防护动作
开启地理位置访问控制。

图3 地理位置访问控制配置框
配置一条精准访问防护规则，拦截所有的请求。

图4 拦截所有访问请求

有关配置精准访问防护规则的详细介绍，请参见配置精准访问防护规则定制化防护策略。
清理浏览器缓存，在浏览器中访问“http://www.example.com”页面。

当非“上海”地区的源IP访问页面时，WAF将拦截该访问请求，拦截页面示例如图5所示。

图5 WAF拦截攻击请求
返回Web应用防火墙管理控制台，在左侧导航树中，单击“防护事件”，进入“防护事件”页面，您可以查看到非“上海”地区的源IP都被拦截。

假如防护域名“www.example.com”已接入WAF，您需要拦截所有来源“北京”地区的IP访问防护域名，可以参照以下操作步骤验证防护效果。

添加一条地理位置访问控制规则，设置“北京”地区“拦截”动作。

图6 拦截某一地区访问请求
开启地理位置访问控制。

图7 地理位置访问控制配置框
清理浏览器缓存，在浏览器中访问“http://www.example.com”页面。

当“北京”地区的源IP访问页面时，WAF将拦截该访问请求，拦截页面示例如图8所示。

图8 WAF拦截攻击请求
返回Web应用防火墙管理控制台，在左侧导航树中，单击“防护事件”，进入“防护事件”页面，您可以查看该防护事件。

图9 查看防护事件-拦截某一地区IP访问请求