配置 IP 黑白名单规则 - 添加策略适用的防护域名_Web应用防火墙 WAF_用户指南_策略管理

IP地址默认全部放行，您可以通过配置黑白名单规则，阻断、仅记录或放行指定IP地址/IP地址段的访问请求。

● WAF支持批量导入黑白名单，如果您需要配置多个IP/IP地址段规则，请添加地址组，详细操作请参见添加黑白名单IP地址组。

● 云模式的专业版（原企业版）和铂金版（原旗舰版）支持IPv6地址/IPv6地址段。

当前仅“华东”和“华北”区域支持IPv4/6双栈和NAT64。

● 如果独享模式/ELB模式所在的ELB支持IPv6，独享模式/ELB模式也支持IPv6地址/

IPv6地址段。

● 添加或修改防护规则后，规则生效需要等待几分钟。规则生效后，您可以在“防护事件”页面查看防护效果。

● WAF黑白名单规则不支持配置0.0.0.0/0 IP地址段，且白名单规则优先级高于黑名单规则。如果您需要放行某个网段指定的IP并拦截某个网段其他所有IP，请先添加黑名单规则，拦截将该网段的所有IP，然后添加白名单规则，放行指定IP。

须知

如果您需要拦截所有来源IP或仅允许指定IP访问防护网站，请参见拦截所有来源IP 或仅允许指定IP访问防护网站，如何配置？进行配置。

● 当黑白名单规则的“防护动作”设置为“拦截”时，您可以配置攻击惩罚标准。

配置攻击惩罚后，如果访问者的IP、Cookie或Params恶意请求被拦截时，WAF将根据攻击惩罚设置的拦截时长来封禁访问者。

一个规则扩展包包含10条IP黑白名单防护规则。有关升级规则的详细操作，请参见升级WAF云模式版本和规格。

系统影响

将IP或IP地址段配置为黑名单/白名单后，来自该IP或IP地址段的访问，WAF将不会做任何检测，直接拦截/放行。

操作步骤

步骤1 登录管理控制台。

步骤2 进入防护策略配置入口，如图10-34所示。

图10-34 防护策略配置入口

步骤3 在“黑白名单设置”配置框中，用户可根据自己的需要更改“状态”，单击“自定义黑白名单设置规则”，进入黑白名单设置规则页面，如图10-35所示。

图10-35 黑白名单配置框

步骤4 在“黑白名单”设置规则页面左上角，单击“添加规则”。

步骤5 在弹出的对话框中，添加黑白名单规则，如图10-36和图10-37所示，参数说明如表 10-10所示。

说明

● 将IP配置为仅记录后，来自该IP的访问，WAF将根据防护规则进行检测并记录该IP的防护事件数据。

● 其他的IP将根据配置的WAF防护规则进行检测。

用户指南 10 配置防护规则

图10-36 添加单个 IP/IP 地址段黑白名单规则

图10-37 批量添加 IP/IP 地址段黑白名单规则

表10-10 黑白名单参数说明

参数参数说明取值样例

规则名称用户自定义黑白名单规则的

名字。 waftest

IP/IP段或地址组

支持添加黑白名单规则的方式，“IP/IP段”或“地址组”。

IP/IP段

IP/IP段当“IP/IP段或地址组” 选择

“IP/IP段”时需要设置该参数。

支持IPv4和IPv6格式的IP地址或IP地址段。版（原旗舰版）支持IPv6防护，且当前仅“华东”和“华北”区域支持IPv4/IPv6双栈和 NAT64。

● IPv4格式：

– 192.168.2.3 – 10.1.1.0/24

● IPv6格式：

1050:0:0:0:5:600:300c:326b

选择地址组当“IP/IP段或地址组” 选择

groupwaf

防护动作 ● 拦截：IP地址或IP地址段

参数参数说明取值样例攻击惩罚当“防护动作”设置为“拦

截”时，您可以设置攻击惩罚标准。设置攻击惩罚后，

当访问者的IP、Cookie或 Params恶意请求被拦截时，

WAF将根据惩罚标准设置的拦截时长来封禁访问者。

长时间IP拦截

规则描述可选参数，设置该规则的备

注信息。

--步骤6 输入完成后，单击“确认添加”，添加的黑白名单展示在黑白名单规则列表中。

图10-38 黑白名单规则列表

● 规则添加成功后，默认的“规则状态”为“已开启”，若您暂时不想使该规则生效，可在目标规则所在行的“操作”列，单击“关闭”。

● 若需要修改添加的黑白名单规则时，可单击待修改的黑白名单IP规则所在行的

“修改”，修改黑白名单规则。

● 若需要删除添加的黑白名单规则时，可单击待删除的黑白名单IP规则所在行的

“删除”，删除黑白名单规则。

----结束

配置示例-放行指定 IP

假如防护域名“www.example.com”已接入WAF，您可以参照以下操作步骤验证放行指定IP防护效果。

步骤1 添加以下2条黑白名单规则，拦截所有来源IP。

图10-39 拦截 1.0.0.0/1 IP 地址段

图10-40 拦截 128.0.0.0/1 IP 地址段

用户指南 10 配置防护规则

图10-41 拦截所有访问请求

有关配置精准访问防护规则的详细介绍，请参见配置精准访问防护规则。

步骤2 参照图10-42示例添加黑白名单规则，放行指定IP，例如，XXX.XXX.2.3。

图10-42 放行指定 IP

步骤3 开启黑白名单防护规则。

图10-43 黑白名单配置框

步骤4 清理浏览器缓存，在浏览器中访问“http://www.example.com”页面。

当访问者的源IP不属于步骤2中设置的放行IP地址时，WAF将拦截该访问请求，拦截页面示例如图10-44所示。

图10-44 WAF 拦截攻击请求

步骤5 返回Web应用防火墙管理控制台，在左侧导航树中，单击“防护事件”，进入“防护事件”页面，您可以查看该防护事件。

----结束

在文檔中添加策略适用的防护域名_Web应用防火墙 WAF_用户指南_策略管理_华为云 (頁 152-159)