配置IP黑白名单规则拦截/放行指定IP

您所在的位置：网站首页 › 一加白名单怎么设置 › 配置IP黑白名单规则拦截/放行指定IP

配置IP黑白名单规则拦截/放行指定IP

2024-05-21 02:49| 来源: 网络整理| 查看: 265

IP地址默认全部放行，您可以通过配置黑白名单规则，阻断、仅记录或放行指定IP地址/IP地址段的访问请求，白名单规则优先级高于黑名单规则。配置黑白名单规则时，WAF支持单个添加或通过引用地址组批量导入黑白名单IP地址/IP地址段。

如果您已开通企业项目，您需要在“企业项目”下拉列表中选择您所在的企业项目并确保已开通操作权限，才能为该企业项目下域名配置防护策略。

前提条件

已添加防护网站或已新增防护策略。

云模式-CNAME接入的接入方式参见将网站接入WAF防护（云模式-CNAME接入）章节。云模式-ELB接入的接入方式参见将网站接入WAF防护（云模式-ELB接入）章节。独享模式的接入方式参见将网站接入WAF防护（独享模式）章节。约束条件入门版不支持该功能。 WAF支持批量导入黑白名单，如果您需要配置多个IP/IP地址段规则，请添加地址组，详细操作请参见添加黑白名单IP地址组。云模式的专业版和铂金版支持IPv6地址/IPv6地址段。如果独享模式/云模式-ELB接入所在的ELB支持IPv6，独享模式/云模式-ELB接入也支持IPv6地址/IPv6地址段。添加或修改防护规则后，规则生效需要等待几分钟。规则生效后，您可以在“防护事件”页面查看防护效果。 WAF黑白名单规则支持配置0.0.0.0/0 和::/0 IP地址段，分别实现ipv4全流量拦截和ipv6全流量拦截。白名单规则优先级高于黑名单规则，如果您需要放行某个网段指定的IP并拦截某个网段其他所有IP，请先添加黑名单规则，拦截该网段的所有IP，然后添加白名单规则，放行指定IP。

如果您需要拦截所有来源IP或仅允许指定IP访问防护网站，也可以请参见拦截所有来源IP或仅允许指定IP访问防护网站，如何配置？进行配置。

当黑白名单规则的“防护动作”设置为“拦截”时，您可以配置攻击惩罚标准自动封禁访问者指定时长，但攻击惩罚的“拦截类型”不支持选择“长时间IP拦截”和“短时间IP拦截”。配置攻击惩罚后，如果访问者的Cookie或Params恶意请求被拦截时，WAF将根据攻击惩罚设置的拦截时长来封禁访问者。规格限制云模式各版本、独享模式支持创建的IP黑白名单规则条数请参见服务版本差异。如果您购买了云模式，当前版本的IP黑白名单防护规则条数不能满足要求时，您可以通过购买规则扩展包或升级云模式版本增加IP黑白名单防护规则条数，以满足的防护配置需求。

一个规则扩展包包含10条IP黑白名单防护规则。有关升级规则的详细操作，请参见升级WAF云模式版本和规格。

系统影响

将IP或IP地址段配置为黑名单/白名单后，来自该IP或IP地址段的访问，WAF将不会做任何检测，直接拦截/放行。

操作步骤登录管理控制台。单击管理控制台左上角的

，选择区域或项目。单击页面左上方的

，选择“安全与合规 > Web应用防火墙 WAF”。在左侧导航树中，选择“防护策略”，进入“防护策略”页面。单击目标策略名称，进入目标策略的防护配置页面。选择“黑白名单设置”配置框，用户可根据自己的需要开启或关闭黑白名单策略。

：开启状态。

：关闭状态。

在“黑白名单设置”配置列表的左上方，单击“添加规则”。在弹出的对话框中，添加黑白名单规则，如图1和图2所示，参数说明如表1所示。

将IP配置为仅记录后，来自该IP的访问，WAF将根据防护规则进行检测并记录该IP的防护事件数据。其他的IP将根据配置的WAF防护规则进行检测。图1 添加单个IP/IP地址段黑白名单规则

图2 批量添加IP/IP地址段黑白名单规则

表1 黑白名单参数说明

参数

参数说明

取值样例

规则名称

用户自定义黑白名单规则的名字。

waftest

IP/IP段或地址组

支持添加黑白名单规则的方式，“IP/IP段”或“地址组”。

IP/IP段

当“IP/IP段或地址组” 选择“IP/IP段”时需要设置该参数。

支持IPv4和IPv6格式的IP地址或IP地址段。

IP地址：添加黑名单或者白名单的IP地址。 IP地址段：IP地址与子网掩码。须知：

仅专业版和铂金版支持IPv6防护。

IPv4格式： 192.168.2.3 10.1.1.0/24 IPv6格式： fe80:0000:0000:0000:0000:0000:0000:0000 ::/0

选择地址组

当“IP/IP段或地址组” 选择“地址组”时需要设置该参数，在下拉列表框中选择已添加的地址组。您也可以单击“添加地址组”创建新的地址组，详细操作请参见添加黑白名单IP地址组。

groupwaf

防护动作

拦截：IP地址或IP地址段设置的是黑名单且需要拦截，则选择“拦截”。放行：IP地址或IP地址段设置的是白名单，则选择“放行”。仅记录：需要观察的IP地址或IP地址段，可选择“仅记录”。再根据防护事件数据判断该IP地址或IP地址段是黑名单还是白名单。

拦截

攻击惩罚

当“防护动作”设置为“拦截”时，您可以设置攻击惩罚标准。设置攻击惩罚后，当访问者的Cookie或Params恶意请求被拦截时，WAF将根据惩罚标准设置的拦截时长来封禁访问者。

说明：

不支持选择“长时间IP拦截”和“短时间IP拦截”。

长时间Cookie拦截

规则描述

可选参数，设置该规则的备注信息。

生效时间

可选择“立即生效”或自定义生效时间段。

当超过设置的生效结束时间后，该规则的“规则状态”为“已开启（未生效）”，您可以修改生效时间使规则重新生效或者删除该未生效规则。

立即生效

输入完成后，单击“确认”，添加的黑白名单展示在黑白名单规则列表中。

规则添加成功后，默认的“规则状态”为“已开启”，若您暂时不想使该规则生效，可在目标规则所在行的“操作”列，单击“关闭”。若需要修改添加的黑白名单规则时，可单击待修改的黑白名单IP规则所在行的“修改”，修改黑白名单规则。若需要删除添加的黑白名单规则时，可单击待删除的黑白名单IP规则所在行的“删除”，删除黑白名单规则。

防护效果

假如已添加域名“www.example.com”。可参照以下步骤验证防护效果：

清理浏览器缓存，在浏览器中输入防护域名，测试网站域名是否能正常访问。

不能正常访问，参照网站设置章节重新完成域名接入。能正常访问，执行2。

参照操作步骤，将您的客户端IP配置为黑名单。清理浏览器缓存，在浏览器中访问“http://www.example.com”页面，正常情况下，WAF会阻断该IP的访问请求，返回拦截页面。返回Web应用防火墙控制界面，在左侧导航树中，单击“防护事件”，进入“防护事件”页面，查看防护域名拦截日志，您也可以下载防护事件数据。配置示例-放行指定IP

假如防护域名“www.example.com”已接入WAF，您可以参照以下操作步骤验证放行指定IP防护效果。

添加以下2条黑白名单规则，拦截所有来源IP。

图3 拦截1.0.0.0/1 IP地址段