在多个 Web应用防火墙(Web Application Firewall,简称WAF)防护规则中重复使用同一组 IP 地址时,逐条手动配置和维护易导致效率低下和配置错误。IP 地址簿功能支持创建可复用的 IP 地址集合,并将其关联至多个防护规则。当 IP 地址变更时,仅需在地址簿中更新,所有引用该地址簿的规则将自动同步,从而简化配置并确保策略一致性。
适用范围
支持的防护模块:所有在防护规则中,允许将匹配字段配置为IP的防护模块均受支持。
IP地址数量限制:不同WAF版本下,支持添加的IP地址总数存在差异,具体信息,请参见版本说明。
接入形态限制:不支持函数计算FC,MSE需升级至2.0.18版本及以上,APIG需升级至2.1.13版本及以上。
操作步骤
创建IP地址簿
登录Web应用防火墙3.0控制台。在顶部菜单栏,选择WAF实例的资源组和地域(中国内地、非中国内地)。
在左侧导航栏,选择。
单击新建IP地址簿,完成如下配置后,单击确认。
地址簿名称:填写一个便于识别的名称。
地址簿描述:根据业务用途填写便于识别的描述。
IP地址:填写加入地址簿的IP地址,支持手工输入与CSV文件上传两种方式。
手工输入:在下方输入框填写IP地址,填写示例如下:
203.0.113.1,203.0.113.0/24,2001:db8::1,2001:db8::/32CSV文件上传:单击上传文件,选择 CSV 格式的文件进行上传。每个文件最多包含 2000 个 IP 地址或 IP 段,且文件大小不得超过 1 MB。若需上传大量 IP 地址,请分多次操作。CSV文件内容示例如下:
Address 203.0.113.1 203.0.113.0/24 2001:db8::1 2001:db8::/32
将IP地址簿应用于防护规则
地址簿创建后可应用于防护规则,以避免因重复配置而增加维护复杂性。以白名单模块为例:在创建白名单规则且匹配字段为IP时,可选择已创建的 IP 地址簿。单条规则最多关联 5 个 IP 地址簿。具体操作,请参见在模板中添加白名单规则。
日常运维
查看地址簿关联的防护规则:定位到目标IP地址簿,单击其关联规则列的
图标查看。搜索地址簿:在页面上方新建IP地址簿右侧的搜索框中,可按地址簿名称或IP地址进行搜索。其中,按IP地址搜索仅支持精确匹配。例如,若地址簿中配置的是
192.168.1.0/24,则无法通过192.168.1.10查询到该地址簿。编辑IP地址簿:定位到目标IP地址簿,单击其操作列的编辑,进行新增IP地址、导入IP地址、清空IP地址等操作。
删除IP地址簿:定位到目标IP地址簿,单击其操作列的删除。仅能删除未关联防护规则的地址簿。
常见问题
IP地址簿功能收费吗?
IP地址簿功能免费,但不同WAF版本下,支持添加的IP地址总数存在差异,具体信息,请参见版本说明。
默认的“云安全中心漏洞扫描IP”作用是什么?
系统内置地址簿“云安全中心漏洞扫描IP”用于存储云安全中心的漏洞扫描 IP 地址。若已启用云安全中心,可直接引用该地址簿创建白名单规则,以确保云安全中心 Web 扫描器能够正常访问服务器并执行主动验证。更多信息,请参见扫描漏洞。