接入Web應用防火墻(Web Application Firewall,簡稱WAF)后,您可以通過設置IP黑名單規則,攔截來自特定IP地址或地址段的請求。本文介紹如何創建IP黑名單規則模板并添加防護規則。
前提條件
已開通WAF 3.0服務。具體操作,請參見開通包年包月WAF 3.0、開通按量付費WAF 3.0。
已將Web業務添加為WAF 3.0的防護對象。具體操作,請參見配置防護對象和防護對象組。
步驟一:創建IP黑名單規則模板
IP黑名單規則不提供默認規則模板。如果您需要啟用IP黑名單規則,您必須新建一個規則模板,再配置對應規則。
登錄Web應用防火墻3.0控制臺。在頂部菜單欄,選擇WAF實例的資源組和地域(中國內地、非中國內地)。
在左側導航欄,選擇。
在Web基礎防護頁面下方IP黑名單區域,單擊新建模板。
說明如果您是第一次新建IP黑名單規則模板,您也可以在Web基礎防護頁面上方的IP黑名單卡片區域,單擊立即配置。
在新建模板 - IP黑名單面板,完成以下配置,單擊確定。
配置項
說明
模板名稱
為該模板設置一個名稱。
長度為1~255個字符,支持中文和大小寫英文字母,可包含數字、半角句號(.)、下劃線(_)和短劃線(-)。
是否設置為默認模板
選擇是否將該模板設置為當前防護模塊的默認模板。
一個防護模塊只允許設置一個默認模板。默認模板無需設置生效對象,默認應用于所有未關聯到自定義規則模板的防護對象和對象組(包括后續新增、從自定義規則模板中移除的防護對象和對象組)。
規則配置
您可以單擊新建規則,為當前模板新建IP黑名單規則。您也可以忽略該設置,在創建規則模板后,再為模板新建規則。具體操作,請參見步驟二:在IP黑名單規則模板中添加IP黑名單規則。
生效對象
從已添加的防護對象及對象組中,選擇要應用該模板的防護對象和防護對象組。
一個防護對象或對象組只能關聯到當前防護模塊下的一個模板。關于添加防護對象和對象組的具體操作,請參見配置防護對象和防護對象組。
新建的規則模板默認開啟。您可以在規則模板列表執行如下操作:
查看模板關聯的防護對象/組的數量。
通過模板開關,開啟或關閉模板。
編輯或刪除規則模板。
單擊規則模板名稱左側的
圖標,查看規則模板包含的規則。說明查看安全報表時,如果將Bot管理中的攻擊處置為添加至黑名單,WAF會自動創建一個規則模板名稱為AutoTemplate的模板,并自動添加一條規則動作為攔截的黑名單規則。更多信息,請參見Bot管理。
步驟二:在IP黑名單規則模板中添加IP黑名單規則
只有添加IP黑名單規則后,IP黑名單規則模板才具有防護作用。如果您已在創建規則模板時添加了對應規則,可跳過該步驟。
登錄Web應用防火墻3.0控制臺。在頂部菜單欄,選擇WAF實例的資源組和地域(中國內地、非中國內地)。
在左側導航欄,選擇。
在IP黑名單區域,定位到要新建規則的規則模板,單擊操作列的新建規則。
在新建規則對話框,完成以下配置,單擊確定。
配置項
說明
規則名稱
為該規則設置一個名稱。
支持中文和大小寫英文字母,可包含數字、半角句號(.)、下劃線(_)和短劃線(-)。
IP黑名單
添加IP黑名單。規則生效后,如果您的請求來源IP在該IP黑名單范圍內,則請求命中規則,請求被攔截。要求如下:
支持使用IPv4和IPv6地址(例如
1.1.XX.XX、2001:XXXX:ffff:ffff:ffff:ffff:ffff:ffff)。支持使用IPv4網段和IPv6網段(例如
1.1.XX.XX/16、2001:XXXX:XXXX:XXXX::/64)。每輸入一個IP地址,按回車進行確認。
最多支持設置200個IP地址。
規則動作
選擇當請求命中該規則時,要執行的防護動作。可選項:
攔截:表示攔截命中規則的請求,并向發起請求的客戶端返回攔截響應頁面。
說明WAF默認使用統一的攔截響應頁面,您可以通過自定義響應功能,自定義攔截響應頁面。更多信息,請參見設置自定義響應規則配置攔截響應頁面。
觀察:表示不攔截命中規則的請求,只通過日志記錄請求命中了規則。您可以通過WAF日志,查詢命中當前規則的請求,分析規則的防護效果(例如,是否有誤攔截等)。
重要只有開通日志服務,您才可以使用日志查詢功能。更多信息,請參見開啟或關閉日志服務。
觀察模式方便您試運行首次配置的規則,待確認規則沒有產生誤攔截后,再將規則設置為攔截模式。
說明您可以通過安全報表,查詢攔截類、觀察類防護規則的命中詳情。更多信息,請參見安全報表。
新建的規則默認開啟。您可以在規則模板列表執行如下操作:
通過狀態開關,開啟或關閉規則。
編輯或刪除規則。
后續步驟
您可以在安全報表頁面的IP黑名單頁簽,查詢防護規則的防護詳情。更多信息,請參見IP黑名單、自定義規則、掃描防護、CC防護或區域封禁。
相關文檔
防護配置概述:介紹防護對象、防護模塊及防護流程等信息。
CreateDefenseTemplate - 創建防護模板:您可以調用該接口,創建防護模板。
CreateDefenseRule - 創建防護規則:您可以調用該接口,設置參數DefenseScene為ip_blacklist,并配置規則內容,創建一個IP黑名單防護規則。