文档简介:
前提条件
已添加防护网站。
约束条件
- WAF不支持批量导入黑白名单,如果您需要配置多个IP/IP地址段规则,请逐条添加黑白名单防护规则,放行或拦截指定IP/IP地址段。
- 添加或修改防护规则后,规则生效需要等待几分钟。规则生效后,您可以在“防护事件”页面查看防护效果。
系统影响
将IP或IP地址段配置为黑名单/白名单后,来自该IP或IP地址段的访问,WAF将不会做任何检测,直接拦截/放行。
操作步骤
1 登录管理控制台。
2 单击管理控制台右上角的
,选择区域或项目。
3 单击页面左上方的
,选择“安全 > Web应用防火墙”。
4 在左侧导航树中,选择“网站设置”,进入“网站设置”页面。
5 在目标域名所在行的“防护策略”栏中,单击“配置防护策略”,进入“防护策略”页面。
6 在“黑白名单设置”配置框中,用户可根据自己的需要更改“状态”,单击“自定义黑白名单设置规则”,进入黑白名单设置规则页面。
白名单配置框
7 在“黑白名单”设置规则页面左上角,单击“添加规则”。
8 在弹出的对话框中,添加黑白名单规则,参数说明如表所示。
说明
将IP配置为仅记录后,来自该IP的访问,WAF将根据防护规则进行检测并记录该IP的防护事件数据。
其他的IP将根据配置的WAF防护规则进行检测。
添加黑白名单规则
黑白名单参数说明
| 参数 | 参数说明 | 取值样例 |
|---|---|---|
| IP地址或IP地址段 |
支持IP地址或IP地址段。 IP地址:添加黑名单或者白名单的IP地址。 IP地址段:IP地址与子网掩码。 |
XXX.XXX.2.3 |
| 防护动作 |
拦截:IP地址或IP地址段设置的是黑名单且需要拦截,则选择“拦截”。 放行:IP地址或IP地址段设置的是白名单,则选择“放行”。 仅记录:需要观察的IP地址或IP地址段,可选择“仅记录”。再根据下载防护事件数据判断该IP地址或IP地址段是黑名单还是白名单。 |
拦截 |
| 规则描述 | 可选参数,设置该规则的备注信息。 | -- |
9 输入完成后,单击“确认添加”,添加的黑白名单展示在黑白名单规则列表中。
黑白名单规则列表
规则添加成功后,默认的“规则状态”为“已开启”,若您暂时不想使该规则生效,可在目标规则所在行的“操作”列,单击“关闭”。
若需要修改添加的黑白名单规则时,可单击待修改的黑白名单IP规则所在行的“修改”,修改黑白名单规则。
若需要删除添加的黑白名单规则时,可单击待删除的黑白名单IP规则所在行的“删除”,删除黑白名单规则。
配置示例-放行指定IP
假如您仅需要放行3个IP,其他的IP全部拦截。
配置方法:利用配置精准访问防护规则,配置如图的规则;再将三个IP分别配置为白名单。
阻断所有的请求
防护效果
假如已添加域名“www.example.com”。可参照以下步骤验证防护效果:
1 清理浏览器缓存,在浏览器中输入防护域名,测试网站域名是否能正常访问。
不能正常访问,参照章节:添加防护网站重新完成域名接入 。
能正常访问,执行2。
12 参照操作步骤,将您的客户端IP配置为黑名单。
13 清理浏览器缓存,在浏览器中访问“http://www.example.com”页面,正常情况下,WAF会阻断该IP的访问请求,返回拦截页面。
14 返回Web应用防火墙控制界面,在左侧导航树中,单击“防护事件”,进入“防护事件”页面,查看防护域名拦截日志,您也可以下载防护事件数据。
