配置IP黑白名单规则_Web应用防火墙 WAF_用户指南_配置防护规则

前提条件

已添加防护网站。

规格限制

检测版不支持该功能。

约束条件

• WAF黑白名单规则不支持配置0.0.0.0/0 IP地址段，且白名单规则优先级高于黑名单规则。如果您需要放行某个网段指定的IP并拦截某个网段其他所有IP，请先添加黑名单规则，拦截将该网段的所有IP，然后添加白名单规则，放行指定IP。
• 当黑白名单规则的“防护动作”设置为“拦截”时，您可以设置攻击惩罚。设置攻击惩罚后，如果访问者的IP、Cookie或Params恶意请求被拦截时，WAF将根据攻击惩罚设置的拦截时长来封禁访问者。有关配置攻击惩罚的详细操作，请参见配置攻击惩罚标准。

系统影响

将IP或IP地址段配置为黑名单/白名单后，来自该IP或IP地址段的访问，WAF将不会做任何检测，直接拦截/放行。

操作步骤

1. 登录管理控制台。
2. 进入防护策略配置入口，如图1所示。
   图1 防护策略配置入口
   

3. 在“黑白名单设置”配置框中，用户可根据自己的需要更改“状态”，单击“自定义黑白名单设置规则”，进入黑白名单设置规则页面，如图2所示。
   图2 黑白名单配置框
   

4. 在“黑白名单”设置规则页面左上角，单击“添加规则”。
5. 在弹出的对话框中，添加黑白名单规则，如图3所示，参数说明如表1所示。
   

   • 将IP配置为仅记录后，来自该IP的访问，WAF将根据防护规则进行检测并记录该IP的防护事件数据。
   • 其他的IP将根据配置的WAF防护规则进行检测。
   图3 添加黑白名单规则
   

   表1 黑白名单参数说明

   参数	参数说明	取值样例
   IP地址或IP地址段	支持IPv4和IPv6格式的IP地址或IP地址段。 IP地址：添加黑名单或者白名单的IP地址。 IP地址段：IP地址与子网掩码。 须知： 当前仅“华东”区域支持IPv6防护，且仅企业版和旗舰版支持IPv6。	IPv4格式： 192.168.2.3 10.1.1.0/24 IPv6格式：1050:0:0:0:5:600:300c:326b
   防护动作	拦截：IP地址或IP地址段设置的是黑名单且需要拦截，则选择“拦截”。 放行：IP地址或IP地址段设置的是白名单，则选择“放行”。 仅记录：需要观察的IP地址或IP地址段，可选择“仅记录”。再根据防护事件数据判断该IP地址或IP地址段是黑名单还是白名单。	拦截
   攻击惩罚	当“防护动作”设置为“拦截”时，您可以设置攻击惩罚标准。设置攻击惩罚后，当访问者的IP、Cookie或Params恶意请求被拦截时，WAF将根据惩罚标准设置的拦截时长来封禁访问者。	长时间IP拦截
   规则描述	可选参数，设置该规则的备注信息。	--

6. 输入完成后，单击“确认添加”，添加的黑白名单展示在黑白名单规则列表中。
   图4 黑白名单规则列表
   
   • 规则添加成功后，默认的“规则状态”为“已开启”，若您暂时不想使该规则生效，可在目标规则所在行的“操作”列，单击“关闭”。
   • 若需要修改添加的黑白名单规则时，可单击待修改的黑白名单IP规则所在行的“修改”，修改黑白名单规则。
   • 若需要删除添加的黑白名单规则时，可单击待删除的黑白名单IP规则所在行的“删除”，删除黑白名单规则。

配置示例

假如您仅需要放行3个IP，其他的IP全部拦截。

配置方法：利用精准访问防护规则，配置如图5的规则；再将三个IP分别配置为白名单。

图5 阻断所有的请求

防护效果

假如已添加域名“www.example.com”。可参照以下步骤验证防护效果：

1. 清理浏览器缓存，在浏览器中输入防护域名，测试网站域名是否能正常访问。
   • 不能正常访问，参照域名接入WAF章节重新完成域名接入。
   • 能正常访问，执行2。

2. 参照操作步骤，将您的客户端IP配置为黑名单。
3. 清理浏览器缓存，在浏览器中访问“http://www.example.com”页面，正常情况下，WAF会阻断该IP的访问请求，返回拦截页面。
4. 返回Web应用防火墙控制界面，在左侧导航树中，单击“防护事件”，进入“防护事件”页面，查看防护域名拦截日志，您也可以下载防护事件数据。