全部產品
Search
文件中心

Web Application Firewall:設定IP黑名單規則攔截特定IP地址

更新時間:Jun 18, 2026

Web Application Firewall(Web Application Firewall,簡稱WAF)的IP黑名單模組適用於攔截已知惡意IP及特定IP段,構建精準、高效的第一道安全防線。

適用情境說明

WAF IP黑名單防護模組適用於需精準攔截已知惡意IP或特定IP段的情境。

  • 推薦使用的情境

    • 已知攻擊源封鎖:經日誌分析或攻防演練確認某IP為掃描器、爬蟲、暴力破解工具或殭屍網路節點時,可將其加入黑名單直接封鎖。

    • 臨時應急封堵:遭遇突發攻擊且流量源自少量固定IP時,可快速建立黑名單規則作為初步防線,為後續深度分析爭取時間。

    • 合規或地區限制:企業需遵守資料主權或業務地區限制(如禁止特定IP訪問)時,若僅需封鎖具體的IP段,可使用IP黑名單。

  • 不推薦使用的情境

    • 攻擊者使用動態IP:若攻擊者通過大量動態IP、公用代理(如CC攻擊情境)或雲函數發起請求,僅依賴IP黑名單難以有效防護,建議結合CC防護自訂規則-頻率控制模組。

    • 需精細化區分使用者行為:若需根據請求路徑、參數或Header進行差異化處置,IP黑名單無法滿足需求,應使用自訂規則模組。

關鍵概念

  • IP黑名單:Web核心防護中的防護模組之一。啟用此模組前必須建立防護模板,系統支援建立多個防護模板。

  • 防護模板:防護模板是防護規則的集合,用於定義具體的規則內容和作用範圍。其由以下三部分組成:模板類型、防護規則、生效對象。

    • 模板類型:防護模板建立時需指定類型,且建立後不可更改。模板類型分為以下兩種:

      模板類型

      說明

      適用情境

      預設防護模板

      • 模板建立時,預設對所有防護對象和對象組生效,後續新增的對象也自動生效。

      • 支援手動將特定對象排除(設定為“未生效”)。

      • 在IP黑名單模組下,僅能建立一個預設防護模板。

      部署通用的、需全域執行的防護規則。

      自訂防護模板

      必須手動指定其生效的防護對象或對象組。

      針對特定業務(如登入、支付介面)部署精細化的防護規則。

    • 防護規則:定義具體的檢測邏輯和響應措施。一個防護模板可包含多條防護規則,每條規則由以下兩部分組成:

      • IP地址黑名單列表:指定需要攔截或觀察的用戶端 IP 位址或位址區段。

      • 規則動作:定義命中規則後的處置措施,支援攔截觀察

    • 生效對象:指定防護模板的應用目標。通過生效對象設定,將防護規則應用到指定的防護對象或防護對象組。一個防護對象或對象組可以關聯多個防護模板。

      • 防護對象:每個接入 WAF 的網域名稱或雲產品執行個體,系統會為其自動建立一個防護對象。

      • 防護對象組:可將多個防護對象加入一個防護對象組,以便集中管理。

操作步驟

說明

執行以下步驟前,請確保已存在防護對象(已將Web業務接入WAF),若尚未將業務接入,請參見接入概述

登入Web Application Firewall3.0控制台。在頂部功能表列,選擇WAF執行個體的資源群組和地區(中國內地非中國內地),在左側導覽列,選擇防護配置 > Web 核心防護

步驟一:配置防護模板類型

Web 核心防護頁面的IP黑名單地區,單擊建立模板,並完成以下配置。

  • 模板名稱:為該模板設定一個名稱。

  • 是否設定為預設範本:IP黑名單模組僅能設定一個預設範本,且僅能在建立模板時設定。

    • :無需設定生效對象,模板建立時,預設對所有防護對象和對象組生效,後續新增的對象也自動生效。支援手動將特定對象排除(設定為“未生效”)。

    • :需要設定生效對象,手動指定其生效的防護對象或對象組。

步驟二:在防護模板中添加防護規則

規則配置地區,單擊建立規則,完成以下配置。

  • 規則名稱:為該規則設定一個名稱。

  • IP黑名單:設定需要攔截或觀察的用戶端 IP 位址或位址區段,填寫要求如下:

    • 支援IPv4和IPv6地址(例如1.1.XX.XX2001:XXXX:ffff:ffff:ffff:ffff:ffff:ffff)。

    • 支援IPv4網段和IPv6網段(例如1.1.XX.XX/162001:XXXX:XXXX:XXXX::/64)。

    • 每輸入一個IP地址,按斷行符號進行確認。

    • 最多支援設定200個IP地址。

  • 規則動作:選擇當請求命中該規則時,要執行的防護動作。

    • 攔截:攔截命中規則的請求,並向發起請求的用戶端返回攔截響應頁面。

      說明

      WAF預設使用統一的攔截響應頁面,也可以通過自訂響應功能,自訂攔截響應頁面。

    • 觀察:不攔截命中規則的請求,僅通過日誌記錄請求命中的情況。在試運行規則時,可以先通過觀察模式分析WAF日誌,以確認未產生誤攔截,再將其調整為其他規則動作。

步驟三:設定防護模板生效對象

生效對象地區,選擇要應用於該模板的防護對象和防護對象組

模板的生效方式取決於在步驟一的配置:

  • 設定為預設防護模板:無需設定生效對象,模板建立時,預設對所有防護對象和對象組生效,後續新增的對象也自動生效。支援手動將特定對象排除(設定為“未生效”)。

  • 未設為預設防護模板:需要手動設定生效的防護對象和防護對象組。

說明

模板建立時與建立完成後,均支援手動調整防護對象或防護對象組生效狀態。

日常營運

管理防護模板

建立的防護模板預設開啟,可以在防護模板列表執行如下操作:

  • 查看模板關聯的防護對象/組的數量。

  • 通過模板開關,開啟或關閉模板。

  • 為該模板建立規則

  • 編輯刪除複製防護模板。

  • 單擊防護模板名稱左側的展開表徵圖 表徵圖,查看該防護模板包含的規則資訊。

管理防護規則

建立的規則預設開啟。可以在規則列表執行如下操作:

  • 查看規則ID規則條件等資訊。

  • 通過狀態開關,開啟或關閉規則。

  • 編輯刪除規則。

常見問題

為什麼配置的IP黑名單規則不生效?

若已配置IP黑名單模板但防護未生效,請按以下順序排查:

  1. 檢查模板狀態與生效對象
    確認IP黑名單模板及其規則的狀態均為“開啟”,且模板的生效對象設定正確並已處於生效狀態。

  2. 檢查白名單配置
    白名單優先順序高於黑名單。請核查是否存在匹配當前流量的白名單規則,若流量命中白名單,將跳過IP黑名單檢測。

  3. 檢查七層代理配置
    若WAF前部署了CDN等七層代理,需確認接入配置中WAF前是否有七層代理(高防/CDN等)選項已設定為“”。配置錯誤會導致WAF無法擷取真實用戶端IP,從而導致基於IP的黑名單規則失效。具體配置,請參見擷取真實用戶端資訊

  4. 檢查連接埠均接入了WAF

    確認所有業務連接埠均已接入WAF。以雲產品接入ECS為例,若來源站點業務連接埠為HTTP 80與HTTPS 443,無論來源站點是否配置強制跳轉規則,兩個連接埠均須接入WAF。否則未接入的連接埠流量將繞過WAF直接到達來源站點。

隨用隨付版WAF配置IP黑名單規則後,能減少WAF的流量費用嗎?

配置IP黑名單規則無法減免WAF的流量費用。被IP黑名單攔截的請求仍會到達WAF並計入QPS(每秒請求數),因此會產生相應的WAF處理費用。但此類請求不會被轉寄至後端來源站點,因此將已知惡意IP加入黑名單可有效減輕來源站點的負載壓力。

IP黑名單與自訂規則有什麼區別?

IP黑名單與自訂規則的主要區別如下:

1. 匹配條件不同

  • IP黑名單:僅支援基於用戶端的來源IP地址或IP位址區段進行單一條件匹配。

  • 自訂規則:支援基於來源IP、請求路徑(URL)、要求標頭(如User-Agent、Referer)、請求參數等多個HTTP欄位進行組合條件匹配,並支援訪問頻率限制。

2. 防護動作不同

  • IP黑名單:命中規則後僅支援攔截觀察動作。

  • 自訂規則:支援多種處置動作,除了攔截觀察外,還支援彈出驗證碼、JavaScript驗證等。

3. 適用情境不同

  • IP黑名單:適用於對已知惡意IP或特定地區IP進行全域封鎖。

  • 自訂規則:適用於針對特定URL路徑、特定請求特徵或高頻訪問行為的精準防護與精細化存取控制。

配置IP黑名單規則後,能否查看到命中的攻擊記錄?

是的,配置IP黑名單規則後,系統支援查看命中該規則的記錄。所有觸發IP黑名單的請求,均會在安全報表中產生並展示相應的攻擊記錄。