配置ip黑白名单规则拦截/放行指定ip-凯发k8国际娱乐官网入口
ip地址默认全部放行,您可以通过配置黑白名单规则,阻断、仅记录或放行指定ip地址/ip地址段的访问请求。配置黑白名单规则时,waf支持单个添加或通过引用地址组批量导入黑白名单ip地址/ip地址段。
如果您已开通企业项目,您需要在“企业项目”下拉列表中选择您所在的企业项目并确保已开通操作权限,才能为该企业项目下域名配置防护策略。
约束条件
- 入门版不支持该功能。
- waf支持批量导入黑白名单,如果您需要配置多个ip/ip地址段规则,请添加地址组,详细操作请参见。
- 云模式的专业版和铂金版支持ipv6地址/ipv6地址段。
- 如果独享模式/elb模式所在的elb支持ipv6,独享模式/elb模式也支持ipv6地址/ipv6地址段。
- 添加或修改防护规则后,规则生效需要等待几分钟。规则生效后,您可以在“防护事件”页面查看防护效果。
- waf黑白名单规则不支持配置0.0.0.0/0 ip地址段,且白名单规则优先级高于黑名单规则。如果您需要放行某个网段指定的ip并拦截某个网段其他所有ip,请先添加黑名单规则,拦截该网段的所有ip,然后添加白名单规则,放行指定ip。
如果您需要拦截所有来源ip或仅允许指定ip访问防护网站,请参见进行配置。
- 当黑白名单规则的“防护动作”设置为“拦截”时,您可以。配置攻击惩罚后,如果访问者的ip、cookie或params恶意请求被拦截时,waf将根据攻击惩罚设置的拦截时长来封禁访问者。
规格限制
- 云模式各版本、独享模式和elb模式支持创建的ip黑白名单规则条数请参见服务版本差异。
- 如果您购买了云模式,当前版本的ip黑白名单防护规则条数不能满足要求时,您可以通过购买规则扩展包或升级云模式版本增加ip黑白名单防护规则条数,以满足的防护配置需求。
一个规则扩展包包含10条ip黑白名单防护规则。有关升级规则的详细操作,请参见升级waf云模式版本和规格。
系统影响
将ip或ip地址段配置为黑名单/白名单后,来自该ip或ip地址段的访问,waf将不会做任何检测,直接拦截/放行。
操作步骤
- 。
- 单击管理控制台左上角的,选择区域或项目。
- 单击页面左上方的,选择 。
- 在左侧导航树中,选择“防护策略”,进入“防护策略”页面。
- 单击目标策略名称,进入目标策略的防护配置页面。
- 选择“黑白名单设置”配置框,用户可根据自己的需要开启或关闭黑白名单策略。
- :开启状态。
- :关闭状态。
- 在“黑白名单设置”配置列表的左上方,单击“添加规则”。
- 在弹出的对话框中,添加黑白名单规则,如图1和图2所示,参数说明如表1所示。
- 将ip配置为仅记录后,来自该ip的访问,waf将根据防护规则进行检测并记录该ip的防护事件数据。
- 其他的ip将根据配置的waf防护规则进行检测。
图1 添加单个ip/ip地址段黑白名单规则
图2 批量添加ip/ip地址段黑白名单规则
表1 黑白名单参数说明 参数
参数说明
取值样例
规则名称
用户自定义黑白名单规则的名字。
waftest
ip/ip段或地址组
支持添加黑白名单规则的方式,“ip/ip段”或“地址组”。
ip/ip段
ip/ip段
当“ip/ip段或地址组” 选择“ip/ip段”时需要设置该参数。
支持ipv4和ipv6格式的ip地址或ip地址段。
- ip地址:添加黑名单或者白名单的ip地址。
- ip地址段:ip地址与子网掩码。
须知:仅专业版和铂金版支持ipv6防护。
- ipv4格式:
- 192.168.2.3
- 10.1.1.0/24
- ipv6格式:fe80:0000:0000:0000:0000:0000:0000:0000
选择地址组
当“ip/ip段或地址组” 选择“地址组”时需要设置该参数,在下拉列表框中选择已添加的地址组。您也可以单击“添加地址组”创建新的地址组,详细操作请参见。
groupwaf
防护动作
- 拦截:ip地址或ip地址段设置的是黑名单且需要拦截,则选择“拦截”。
- 放行:ip地址或ip地址段设置的是白名单,则选择“放行”。
- 仅记录:需要观察的ip地址或ip地址段,可选择“仅记录”。再根据防护事件数据判断该ip地址或ip地址段是黑名单还是白名单。
拦截
攻击惩罚
当“防护动作”设置为“拦截”时,您可以设置攻击惩罚标准。设置攻击惩罚后,当访问者的ip、cookie或params恶意请求被拦截时,waf将根据惩罚标准设置的拦截时长来封禁访问者。
长时间ip拦截
规则描述
可选参数,设置该规则的备注信息。
--
- 输入完成后,单击“确认”,添加的黑白名单展示在黑白名单规则列表中。
- 规则添加成功后,默认的“规则状态”为“已开启”,若您暂时不想使该规则生效,可在目标规则所在行的“操作”列,单击“关闭”。
- 若需要修改添加的黑白名单规则时,可单击待修改的黑白名单ip规则所在行的“修改”,修改黑白名单规则。
- 若需要删除添加的黑白名单规则时,可单击待删除的黑白名单ip规则所在行的“删除”,删除黑白名单规则。
防护效果
假如已添加域名“www.example.com”。可参照以下步骤验证防护效果:
配置示例-放行指定ip
假如防护域名“www.example.com”已接入waf,您可以参照以下操作步骤验证放行指定ip防护效果。
- 添加以下2条黑白名单规则,拦截所有来源ip。
图3 拦截1.0.0.0/1 ip地址段
图4 拦截128.0.0.0/1 ip地址段
您也可以通过添加一条精准访问防护规则,拦截所有访问请求,如图5所示。
图5 拦截所有访问请求
有关配置精准访问防护规则的详细介绍,请参见配置精准访问防护规则定制化防护策略。
- 参照图6示例添加黑白名单规则,放行指定ip,例如,xxx.xxx.2.3。
图6 放行指定ip
- 开启黑白名单防护规则。
图7 黑白名单配置框
- 清理浏览器缓存,在浏览器中访问“http://www.example.com”页面。
当访问者的源ip不属于2中设置的放行ip地址时,waf将拦截该访问请求,拦截页面示例如图8所示。
图8 waf拦截攻击请求
- 返回web应用防火墙管理控制台,在左侧导航树中,单击“防护事件”,进入“防护事件”页面,您可以查看该防护事件。
意见反馈
文档内容是否对您有帮助?
如您有其它疑问,您也可以通过华为云社区问答频道来与我们联系探讨