接入Web应用防火墙(Web Application Firewall,简称WAF)后,您可以通过设置IP黑名单规则,拦截来自特定IP地址或地址段的请求。本文介绍如何创建IP黑名单防护模板并添加防护规则。
前提条件
已开通包年包月版WAF 3.0或按量付费版WAF 3.0服务。
已将Web业务添加为WAF 3.0的防护对象和防护对象组。
模板类型
IP黑名单的防护模板有以下两种类型。
防护模板 | 说明 | 生效对象 |
默认防护模板 | WAF不提供IP黑名单初始默认防护模板,需要手动创建。 | 新建时,对所有防护对象/组默认勾选为生效,后续新增的防护对象也会自动加入到默认防护模板中,可手动调整。 |
自定义防护模板 | 自定义的防护模板。需要手动创建。 | 需要设置生效对象,只对关联到防护模板的防护对象和对象组生效。 |
步骤一:创建IP黑名单防护模板
IP黑名单规则不提供初始默认防护模板。如果您需要启用IP黑名单规则,您必须新建一个防护模板,再配置对应规则。
登录Web应用防火墙3.0控制台。在顶部菜单栏,选择WAF实例的资源组和地域(中国内地、非中国内地)。
在左侧导航栏,选择。
在Web 核心防护页面下方IP黑名单区域,单击新建模板。
在新建模板 - IP黑名单面板,完成以下配置,单击确定。
配置项
说明
模板名称
为该模板设置一个名称。
长度为1~255个字符,支持中文和大小写英文字母,可包含数字、半角句号(.)、下划线(_)和短划线(-)。
是否设置为默认模板
默认防护模板无需设置生效对象,默认为所有防护对象/组默认勾选为生效,您也可以手动将它们从默认模板中移出。一个防护模块只允许设置一个默认模板并只能在新建模板时设置。
对于IP黑名单防护模板,还支持为单个防护对象/对象组配置多个防护模板,具体生效规则请参见多套防护模板应用示例。
规则配置
您可以单击新建规则,为当前模板新建IP黑名单规则。您也可以忽略该设置,在创建防护模板后,再为模板新建规则。具体操作,请参见步骤二:在IP黑名单防护模板中添加IP黑名单规则。
生效对象
从已添加的配置防护对象和防护对象组中,选择要应用该模板的配置防护对象和防护对象组。
一个防护对象或对象组可以关联多个IP黑名单防护模板。如果您设置了默认防护模板,默认为所有防护对象/组默认勾选为生效;当您没有设置默认模板,则不会默认勾选防护对象与对象组为生效。生效对象均支持手动修改。
新建的防护模板默认开启,您可以在防护模板列表执行如下操作:
查看模板关联的防护对象/组的数量。
通过模板开关,开启或关闭模板。
为该模板新建规则。
编辑、删除或复制防护模板。
单击防护模板名称左侧的
图标,查看该防护模板包含的规则信息。
说明查看安全报表时,如果将Bot管理中的攻击处置为添加至黑名单,WAF会自动创建一个名称为AutoTemplate的防护模板,并自动添加一条规则动作为拦截的黑名单规则。更多信息,请参见安全报表。
步骤二:在IP黑名单防护模板中添加IP黑名单规则
只有添加IP黑名单规则后,IP黑名单防护模板才具有防护作用。如果您已在创建防护模板时添加了对应规则,可跳过该步骤。
登录Web应用防火墙3.0控制台。在顶部菜单栏,选择WAF实例的资源组和地域(中国内地、非中国内地)。
在左侧导航栏,选择。
在IP黑名单区域,定位到要新建规则的防护模板,单击操作列的新建规则。
在新建规则对话框,完成以下配置,单击确定。
配置项
说明
规则名称
为该规则设置一个名称。
支持中文和大小写英文字母,可包含数字、半角句号(.)、下划线(_)和短划线(-)。
IP黑名单
添加IP黑名单。规则生效后,如果您的请求来源IP在该IP黑名单范围内,则请求命中规则,请求被拦截。要求如下:
支持使用IPv4和IPv6地址(例如
1.1.XX.XX
、2001:XXXX:ffff:ffff:ffff:ffff:ffff:ffff
)。支持使用IPv4网段和IPv6网段(例如
1.1.XX.XX/16
、2001:XXXX:XXXX:XXXX::/64)。每输入一个IP地址,按回车进行确认。
最多支持设置200个IP地址。
规则动作
新建的规则默认开启。您可以在规则列表执行如下操作:
查看规则ID、规则条件等信息。
通过状态开关,开启或关闭规则。
编辑或删除规则。
后续步骤
您可以在安全报表页面的IP黑名单页签,查询防护规则的防护详情。更多信息,请参见安全报表。
相关文档
防护配置概述:介绍防护对象、防护模块及防护流程等信息。
创建防护模板:您可以调用该接口,创建防护模板。
创建Web核心防护规则:您可以调用该接口,设置参数DefenseScene为ip_blacklist,并配置规则内容,创建一个IP黑名单防护规则。