白名单防护策略允许您根据业务场景,自定义放行具有指定特征的请求,使请求不经过全部或特定防护模块(例如,基础防护规则、自定义规则等)的检测。本文介绍了如何启用并配置白名单模块。

前提条件

新建防护策略-白名单

  1. 登录DCDN控制台
  2. 在左侧导航栏,单击WAF防护 > 防护策略
  3. 防护策略页面,单击新建策略
  4. 创建防护策略页面,配置防护信息。
    配置模块配置项说明
    策略信息策略类型选择白名单
    策略名称您自定义的策略名称,支持输入中文字符、英文字符(大小写)、数字(0~9)及下划线(_),最大输入64个字符。
    设置为默认策略当前策略类型的默认策略开关。
    说明
    • 一个策略类型只能设置一个默认策略,默认策略创建后无法更换。
    • 若当前策略类型已有默认策略,则该开关不可配置。
    规则信息规则当前白名单防护策略规则信息。具体配置方法,请参考白名单规则参数说明
    说明 最多支持添加10条规则,如果需要增加规则数量配额,请联系您的阿里云客户经理或通过阿里云其它渠道咨询申请。
    防护域名选择关联策略关系防护域名可以关联多个同类型策略。若域名上已有其他同类型策略,该域名的关联策略可选择新增或替换为当前策略。已关联默认策略的域名仅支持替换。取值:
    • 添加并替换原关联策略:解绑已关联的策略并替换至当前策略。
    • 添加并保留原关联策略:当前策略与已绑定的策略同时存在,互不影响。
    防护域名选择需要接入当前防护策略中的域名。
  5. 单击创建策略

    新建的防护策略默认开启。

白名单规则参数说明

您可以在新建白名单防护策略时新建白名单规则,或者在新建白名单防护策略后,为已有防护策略新建规则。

白名单规则
配置项说明
规则名称您自定义的规则名称,支持使用中文字符、英文字符(大小写)、数字(0~9)及下划线(_),最大输入64个字符。
匹配条件设置该规则要匹配的请求特征。

单击新增条件,添加一个条件。一个规则中最多可以添加五个条件。如果定义了多个条件,则只有当多个条件同时满足时,才算命中规则。

每个条件由匹配字段逻辑符匹配内容组成。配置示例请参考匹配条件配置示例

关于匹配字段和逻辑符的详细说明,请参见匹配条件说明

生效模块选择命中匹配条件的请求无需经过的防护模块。取值:
  • 全部模块:表示命中匹配条件的请求不受任何防护模块的检测,直接放行到源站服务器。

    该选项一般用于放行您完全信任的流量,例如,受信任的漏洞扫描工具的访问、已认证的第三方系统接口的访问等。

  • 自定义生效模块:表示命中匹配条件的请求不受指定的防护规则的检测。
    • 基础防护规则:表示命中匹配条件的请求不受指定的基础防护规则的检测。
      选中基础防护规则后,还需要设置要忽略的规则。
      • 全部规则:默认已选择,表示忽略全部规则。
      • 特定Web基础防护子规则ID:表示忽略指定ID的规则。

        需输入要忽略的规则ID(六位数字格式),最多支持输入50个规则ID,多个ID之间以英文逗号(,)分隔。

      • 特定规则类型:表示忽略指定类型的规则类型。包括:SQL注入、跨站脚本、代码执行、本地文件包含、远程文件包含、WebShell、定制规则、其他。
    • 自定义规则:表示命中匹配条件的请求不受自定义规则模块的检测。
    • IP黑名单:表示拦截来自特定IP地址(IPv4或IPv6地址)或地址段的请求。
    • 区域封禁:表示自定义拦截来自特定IP地址(IPv4或IPv6地址)或地址段的请求。
    • Bot管理:表示提供页面、浏览器、App防爬功能。