华为云Web应用防火墙waf配置地理位置访问控制规则拦截/放行特定区域请求_云淘科技
网站接入Web应用防火墙后,您可以设置地理位置访问控制规则,WAF通过识别客户端访问请求的来源区域,一键封禁来自特定区域的访问或者允许特定区域的来源IP的访问,解决部分地区高发的恶意请求问题。可针对指定国家、地区的来源IP自定义访问控制。
如果您仅允许某一地区的来源IP访问防护网站,请参见配置示例-仅允许某一地区来源IP访问请求进行配置。
如果您已开通企业项目,您需要在“企业项目”下拉列表中选择您所在的企业项目并确保已开通操作权限,才能为该企业项目下域名配置防护策略。
前提条件
已添加防护网站或已新增防护策略。
云模式的接入方式参见网站接入WAF(云模式)章节。
独享模式的接入方式参见网站接入WAF(独享模式)章节。
ELB模式的接入方式参见 网站接入WAF(ELB模式)章节。
约束条件
入门版不支持该功能。
同一个地区只能配置到一条地理位置访问控制规则中。例如,如果某个地理位置访问控制规则已设置了“上海”地区,那么“上海”地区不能再添加到其他地理位置访问控制规则。
添加或修改防护规则后,规则生效需要几分钟。规则生效后,您可以在“防护事件”页面查看防护效果。
操作步骤
登录管理控制台。
单击管理控制台左上角的
,选择区域或项目。
单击页面左上方的
,选择“安全与合规 > Web应用防火墙 WAF”。
在左侧导航树中,选择“防护策略”,进入“防护策略”页面。
单击目标策略名称,进入目标策略的防护配置页面。
选择“地理位置访问控制”配置框,用户可根据自己的需要开启或关闭地理位置访问控制防护策略。
:开启状态。
:关闭状态。
在“地理位置访问控制”配置列表的左上方,单击“添加规则”。
在弹出的对话框中,添加地理位置访问控制规则,如图1所示,根据表1配置参数。
图1 添加地理位置访问控制规则
|
参数 |
参数说明 |
取值样例 |
|---|---|---|
|
规则名称 |
用户自定义地理位置控制规则的名字。 |
dlfw |
|
规则描述 |
可选参数,设置该规则的备注信息。 |
waf |
|
地理位置 |
IP访问的地理范围,可以选择“中国境内”和“中国境外”地区。 |
– |
|
防护动作 |
可以根据需要选择“拦截”、“放行”或者“仅记录”。 |
“拦截” |
单击“确认”,添加的地理位置访问控制规则展示在地理位置访问控制规则列表中。
规则添加成功后,默认的“规则状态”为“已开启”,若您暂时不想使该规则生效,可在目标规则所在行的“操作”列,单击“关闭”。
若需要修改添加的地理位置访问控制规则时,可单击待修改的地理位置访问控制规则所在行的“修改”,修改地理位置访问控制规则。
若需要删除添加的地理位置访问控制规则时,可单击待删除的地理位置访问控制规则所在行的“删除”,删除地理位置访问控制规则。
配置示例-仅允许某一地区来源IP访问请求
假如防护域名“www.example.com”已接入WAF,当您只允许某一地区的IP可以访问防护域名,例如,只允许来源“上海”地区的IP可以访问防护域名,请参照以下步骤处理。
添加一条地理位置访问控制规则,添加“上海”地区的“放行”防护动作。
图2 添加“放行”防护动作
开启地理位置访问控制。
图3 地理位置访问控制配置框
配置一条精准访问防护规则,拦截所有的请求。
图4 拦截所有访问请求
有关配置精准访问防护规则的详细介绍,请参见配置精准访问防护规则定制化防护策略。
清理浏览器缓存,在浏览器中访问“http://www.example.com”页面。
当非“上海”地区的源IP访问页面时,WAF将拦截该访问请求,拦截页面示例如图5所示。
图5 WAF拦截攻击请求
返回Web应用防火墙管理控制台,在左侧导航树中,单击“防护事件”,进入“防护事件”页面,您可以查看到非“上海”地区的源IP都被拦截。
配置示例-拦截某一地区来源IP访问请求
假如防护域名“www.example.com”已接入WAF,您需要拦截所有来源“北京”地区的IP访问防护域名,可以参照以下操作步骤验证防护效果。
添加一条地理位置访问控制规则,设置“北京”地区“拦截”动作。
图6 拦截某一地区访问请求
开启地理位置访问控制。
图7 地理位置访问控制配置框
清理浏览器缓存,在浏览器中访问“http://www.example.com”页面。
当“北京”地区的源IP访问页面时,WAF将拦截该访问请求,拦截页面示例如图8所示。
图8 WAF拦截攻击请求
返回Web应用防火墙管理控制台,在左侧导航树中,单击“防护事件”,进入“防护事件”页面,您可以查看该防护事件。
图9 查看防护事件-拦截某一地区IP访问请求
防护效果
假如已添加域名“www.example.com”。可参照以下步骤验证防护效果:
清理浏览器缓存,在浏览器中输入防护域名,测试网站域名是否能正常访问。
不能正常访问,参照网站设置章节重新完成域名接入。
能正常访问,执行2。
参照操作步骤,将您的客户端IP来源地配置为拦截。
清理浏览器缓存,在浏览器中访问“http://www.example.com”页面,正常情况下,WAF会阻断该来源地IP的访问请求,返回拦截页面。
返回Web应用防火墙控制界面,在左侧导航树中,单击“防护事件”,进入“防护事件”页面,查看防护域名拦截日志,您也可以下载防护事件数据。
父主题: 步骤二:为策略配置防护规则
同意关联代理商云淘科技,购买华为云产品更优惠(QQ 78315851)
内容没看懂? 不太想学习?想快速解决? 有偿解决: 联系专家
