网站接入Web应用防火墙后,其所有访问请求默认都将经过Web应用防火墙的网站防护策略过滤。网站白名单允许您设置放行满足特定条件的请求,命中白名单规则的请求将不经过Web应用防火墙的网站防护策略过滤,直接返回源站。

前提条件

说明 本文介绍的网站白名单对应2020年1月发布的新版控制台界面,新版界面目前仅向中国大陆地域开放。如果您使用在此日期前开通的Web应用防火墙实例或海外地区服务,则不支持设置网站白名单。
  • Web应用防火墙实例的地域必须是中国大陆。
  • 已完成网站接入。更多信息,请参见业务接入WAF配置

背景信息

Web应用防火墙的网站防护策略包括Web入侵防护、访问控制/限流、数据安全、高级防护等模块。命中网站白名单的访问请求不做任何防护策略检测。网站白名单一般用于放行您完全信任的流量,例如受信任的自身漏洞检测扫描工具的访问、已知并且已认证的第三方系统接口的访问等。

您也可以为不同模块的防护策略单独设置白名单,使满足条件的请求只忽略当前模块的防护策略。更多信息,请参见以下文档:
说明 强烈建议您根据需要设置对应的模块白名单。越精细的白名单规则安全性越高,模块白名单的安全性高于网站白名单。

操作步骤

  1. 登录Web应用防火墙控制台
  2. 在页面上方选择中国大陆地域。
  3. 在左侧导航栏,单击防护配置 > 网站防护
  4. 网站防护页面上方,切换到要设置的域名。切换域名
  5. 单击页面右上角的网站白名单
  6. 新建网站白名单。
    1. 网站白名单配置页面,单击新建白名单
    2. 添加规则对话框中,完成以下规则配置。
      配置项 说明
      规则名称 为规则命名。
      匹配条件 定义白名单请求要满足的条件。单击新增条件可以设置最多五个条件。存在多个条件时,多个条件必须同时满足才算命中条件。

      关于匹配条件的配置描述,请参见匹配条件字段说明

      添加规则,网站白名单
    3. 单击保存
    成功添加网站白名单规则后,规则自动生效。您可以在规则列表中看到新建的规则,并根据需要编辑或删除规则。