华为云Web应用防火墙waf配置IP黑白名单规则拦截/放行指定IP_云淘科技
IP地址默认全部放行,您可以通过配置黑白名单规则,阻断、仅记录或放行指定IP地址/IP地址段的访问请求。配置黑白名单规则时,WAF支持单个添加或通过引用地址组批量导入黑白名单IP地址/IP地址段。
如果您已开通企业项目,您需要在“企业项目”下拉列表中选择您所在的企业项目并确保已开通操作权限,才能为该企业项目下域名配置防护策略。
前提条件
已添加防护网站或已新增防护策略。
云模式的接入方式参见网站接入WAF(云模式)章节。
独享模式的接入方式参见网站接入WAF(独享模式)章节。
ELB模式的接入方式参见 网站接入WAF(ELB模式)章节。
约束条件
入门版不支持该功能。
WAF支持批量导入黑白名单,如果您需要配置多个IP/IP地址段规则,请添加地址组,详细操作请参见添加黑白名单IP地址组。
云模式的专业版和铂金版支持IPv6地址/IPv6地址段。
如果独享模式/ELB模式所在的ELB支持IPv6,独享模式/ELB模式也支持IPv6地址/IPv6地址段。
添加或修改防护规则后,规则生效需要等待几分钟。规则生效后,您可以在“防护事件”页面查看防护效果。
WAF黑白名单规则不支持配置0.0.0.0/0 IP地址段,且白名单规则优先级高于黑名单规则。如果您需要放行某个网段指定的IP并拦截某个网段其他所有IP,请先添加黑名单规则,拦截该网段的所有IP,然后添加白名单规则,放行指定IP。
如果您需要拦截所有来源IP或仅允许指定IP访问防护网站,请参见拦截所有来源IP或仅允许指定IP访问防护网站,如何配置?进行配置。
当黑白名单规则的“防护动作”设置为“拦截”时,您可以配置攻击惩罚标准自动封禁访问者指定时长。配置攻击惩罚后,如果访问者的IP、Cookie或Params恶意请求被拦截时,WAF将根据攻击惩罚设置的拦截时长来封禁访问者。
规格限制
云模式各版本、独享模式和ELB模式支持创建的IP黑白名单规则条数请参见服务版本差异。
如果您购买了云模式,当前版本的IP黑白名单防护规则条数不能满足要求时,您可以通过购买规则扩展包或升级云模式版本增加IP黑白名单防护规则条数,以满足的防护配置需求。
一个规则扩展包包含10条IP黑白名单防护规则。有关升级规则的详细操作,请参见升级WAF云模式版本和规格。
系统影响
将IP或IP地址段配置为黑名单/白名单后,来自该IP或IP地址段的访问,WAF将不会做任何检测,直接拦截/放行。
操作步骤
登录管理控制台。
单击管理控制台左上角的
,选择区域或项目。
单击页面左上方的
,选择“安全与合规 > Web应用防火墙 WAF”。
在左侧导航树中,选择“防护策略”,进入“防护策略”页面。
单击目标策略名称,进入目标策略的防护配置页面。
选择“黑白名单设置”配置框,用户可根据自己的需要开启或关闭黑白名单策略。
:开启状态。
:关闭状态。
在“黑白名单设置”配置列表的左上方,单击“添加规则”。
在弹出的对话框中,添加黑白名单规则,如图1和图2所示,参数说明如表1所示。
将IP配置为仅记录后,来自该IP的访问,WAF将根据防护规则进行检测并记录该IP的防护事件数据。
其他的IP将根据配置的WAF防护规则进行检测。
图1 添加单个IP/IP地址段黑白名单规则
图2 批量添加IP/IP地址段黑白名单规则
|
参数 |
参数说明 |
取值样例 |
|---|---|---|
|
规则名称 |
用户自定义黑白名单规则的名字。 |
waftest |
|
IP/IP段或地址组 |
支持添加黑白名单规则的方式,“IP/IP段”或“地址组”。 |
IP/IP段 |
|
IP/IP段 |
当“IP/IP段或地址组” 选择“IP/IP段”时需要设置该参数。 支持IPv4和IPv6格式的IP地址或IP地址段。 IP地址:添加黑名单或者白名单的IP地址。 须知: 仅专业版和铂金版支持IPv6防护。 |
IPv4格式: 192.168.2.3 IPv6格式:fe80:0000:0000:0000:0000:0000:0000:0000 |
|
选择地址组 |
当“IP/IP段或地址组” 选择“地址组”时需要设置该参数,在下拉列表框中选择已添加的地址组。您也可以单击“添加地址组”创建新的地址组,详细操作请参见添加黑白名单IP地址组。 |
groupwaf |
|
防护动作 |
拦截:IP地址或IP地址段设置的是黑名单且需要拦截,则选择“拦截”。 |
拦截 |
|
攻击惩罚 |
当“防护动作”设置为“拦截”时,您可以设置攻击惩罚标准。设置攻击惩罚后,当访问者的IP、Cookie或Params恶意请求被拦截时,WAF将根据惩罚标准设置的拦截时长来封禁访问者。 |
长时间IP拦截 |
|
规则描述 |
可选参数,设置该规则的备注信息。 |
— |
输入完成后,单击“确认”,添加的黑白名单展示在黑白名单规则列表中。
规则添加成功后,默认的“规则状态”为“已开启”,若您暂时不想使该规则生效,可在目标规则所在行的“操作”列,单击“关闭”。
若需要修改添加的黑白名单规则时,可单击待修改的黑白名单IP规则所在行的“修改”,修改黑白名单规则。
若需要删除添加的黑白名单规则时,可单击待删除的黑白名单IP规则所在行的“删除”,删除黑白名单规则。
防护效果
假如已添加域名“www.example.com”。可参照以下步骤验证防护效果:
清理浏览器缓存,在浏览器中输入防护域名,测试网站域名是否能正常访问。
不能正常访问,参照网站设置章节重新完成域名接入。
能正常访问,执行2。
参照操作步骤,将您的客户端IP配置为黑名单。
清理浏览器缓存,在浏览器中访问“http://www.example.com”页面,正常情况下,WAF会阻断该IP的访问请求,返回拦截页面。
返回Web应用防火墙控制界面,在左侧导航树中,单击“防护事件”,进入“防护事件”页面,查看防护域名拦截日志,您也可以下载防护事件数据。
配置示例-放行指定IP
假如防护域名“www.example.com”已接入WAF,您可以参照以下操作步骤验证放行指定IP防护效果。
添加以下2条黑白名单规则,拦截所有来源IP。
图3 拦截1.0.0.0/1 IP地址段
图4 拦截128.0.0.0/1 IP地址段
您也可以通过添加一条精准访问防护规则,拦截所有访问请求,如图5所示。
图5 拦截所有访问请求
有关配置精准访问防护规则的详细介绍,请参见配置精准访问防护规则定制化防护策略。
参照图6示例添加黑白名单规则,放行指定IP,例如,XXX.XXX.2.3。
图6 放行指定IP
开启黑白名单防护规则。
图7 黑白名单配置框
清理浏览器缓存,在浏览器中访问“http://www.example.com”页面。
当访问者的源IP不属于2中设置的放行IP地址时,WAF将拦截该访问请求,拦截页面示例如图8所示。
图8 WAF拦截攻击请求
返回Web应用防火墙管理控制台,在左侧导航树中,单击“防护事件”,进入“防护事件”页面,您可以查看该防护事件。
父主题: 步骤二:为策略配置防护规则
同意关联代理商云淘科技,购买华为云产品更优惠(QQ 78315851)
内容没看懂? 不太想学习?想快速解决? 有偿解决: 联系专家
