白名單規則允許您將可信請求配置為跳過全部或指定防護規則(自訂規則、頻次控制、託管規則、掃描防護、Bot管理)的檢測,避免正常業務流量被誤攔截。
適用情境
當以下情況發生時,可以通過白名單規則允許存取可信流量:
內部安全團隊使用漏洞掃描工具定期檢查網站,掃描請求頻繁觸發WAF規則。
可信的夥伴或B2B客戶發起大量API調用,其請求特徵(如User-Agent、IP段)固定且可識別,觸發了頻次控制規則。
開發測試階段,壓測工具對特定路徑發起高頻請求,需要繞過Bot管理或頻次控制規則以獲得準確的效能資料。
白名單規則會使匹配的請求繞過安全檢測,請確保允許存取的請求來源完全可信。建議優先使用部分規則種類或ID模式,僅跳過必要的規則,而非跳過全部規則。
配置白名單規則
在ESA控制台,選擇網站管理,單擊目標網站操作列的。
在網站詳情頁面,選擇。
在白名單規則頁簽,單擊新增規則,配置以下參數。
填寫規則名稱,建議使用能描述允許存取目的的名稱,例如"內部掃描工具允許存取"。
在如果請求匹配以下規則...地區配置匹配條件,設定識別可信請求的特徵,例如用戶端IP、URL路徑、要求標頭等。請求匹配規則的詳細配置方法,請參見規則運算式的組成。
在則跳過…地區選取項目該請求需要跳過的防護規則範圍。
全部規則:跳過所有WAF和Bots管理規則。適用於完全可信、需要無攔截通過的請求來源。
部分規則種類或ID:選擇要跳過的規則類型和具體規則ID(例如Bot管理、智能限頻、頻次控制),推薦使用此模式,在允許存取可信流量的同時保留其他防護能力。
配置樣本
以下樣本展示常見情境下的白名單規則配置,供您參考。
樣本一:允許存取內部安全掃描工具
情境:安全團隊使用漏洞掃描工具定期對網站進行合規檢查,掃描工具的出口IP固定,請求觸發WAF規則導致掃描任務中斷。
配置方式:
參數 | 樣本值 |
如果請求匹配以下規則... | 客戶端IP等於實際掃描工具的IP地址,如 可直接編輯使用運算式: |
則跳過… | 全部規則 |
效果:來自該IP的請求完全繞過所有安全防護規則的檢測。
樣本二:允許存取可信夥伴API調用
情境:B2B夥伴通過固定User-Agent調用您的API,因請求頻次較高,觸發了頻次控制規則,導致正常業務請求被拒絕。其他規則仍需保留以防範安全風險。
配置方式:
參數 | 子參數 | 樣本值 |
如果請求匹配以下規則... | 同時滿足:
可直接編輯使用運算式: | |
則跳過… | 規則 | 選擇部分規則種類或ID |
規則種類 | 選擇頻次控制 | |
規則ID(自訂規則、頻次控制規則、掃描防護規則等) | 輸入對應的頻次控制規則ID,如 | |
效果:來自夥伴的API調用不受頻次限制,WAF託管規則仍正常運行,保留對其他威脅的防護能力。
不同套餐的支援情況
功能項 | Entrance | Pro | Premium | Enterprise |
支援的白名單條數 | 2條 | 3條 | 5條 | 10條 |
常見問題
如何擷取安全防護規則的ID?
前往對應的安全防護規則,即可在規則列表中擷取對應規則的ID。以自訂規則為例:
