全部產品
Search
文件中心

Web Application Firewall:設定地區封鎖規則封鎖特定地區請求

更新時間:Jun 19, 2026

接入 Web Application Firewall(Web Application Firewall,簡稱WAF)後,可以配置地區封鎖規則,通過攔截來自特定國家或地區的訪問請求,有效應對地區性惡意流量。本文介紹如何建立地區封鎖規則。

關鍵概念

  • 地區封鎖:Web核心防護中的防護模組之一,基於IP地理位置資料庫實現。系統通過提取用戶端真實IP地址,查詢內建資料庫以識別其所屬的國家或省份。啟用此模組前必須建立防護模板,系統支援建立多個防護模板。

  • 防護模板:防護模板是防護規則的集合,用於定義具體的規則內容和作用範圍。其由以下三部分組成:模板類型、防護規則、生效對象。

    • 模板類型:防護模板建立時需指定類型,且建立後不可更改。模板類型分為以下兩種:

      模板類型

      說明

      適用情境

      預設防護模板

      • 模板建立時,預設對所有防護對象和對象組生效,後續新增的對象也自動生效。

      • 支援手動將特定對象排除(設定為“未生效”)。

      • 在地區封鎖模組下,僅能建立一個預設防護模板。

      部署通用的、需全域執行的防護規則。

      自訂防護模板

      必須手動指定其生效的防護對象或對象組。

      針對特定業務(如登入、支付介面)部署精細化的防護規則。

    • 防護規則:定義具體的檢測邏輯和響應措施。防護規則由以下兩部分組成:

      • 封鎖地區:指定需要攔截或觀察的用戶端 IP 位址所屬地理位置。

      • 規則動作:定義命中規則後的處置措施,支援攔截觀察

    • 生效對象:指定防護模板的應用目標。通過生效對象設定,將防護規則應用到指定的防護對象或防護對象組。一個防護對象或對象組僅能關聯一個地區封鎖防護模板。

      • 防護對象:每個接入 WAF 的網域名稱或雲產品執行個體,系統會為其自動建立一個防護對象。

      • 防護對象組:可將多個防護對象加入一個防護對象組,以便集中管理。

操作步驟

說明
  • 操作前提:執行以下步驟前,請確保已存在防護對象(已將Web業務接入WAF),若尚未將業務接入,請參見接入概述

  • WAF前置代理情況下的正確配置:該功能的有效性取決於WAF能否準確擷取用戶端真實IP。若WAF前方部署了CDN、DDoS高防等七層代理裝置,必須在資產接入配置時將“WAF前是否有七層代理(高防/CDN等)”選項設定為“”。配置錯誤將導致WAF無法擷取真實用戶端IP,致使防護失效。更多資訊,請參見擷取真實用戶端資訊

登入Web Application Firewall3.0控制台。在頂部功能表列,選擇WAF執行個體的資源群組和地區(中國內地非中國內地),在左側導覽列,選擇防護配置 > Web 核心防護

步驟一:配置防護模板類型

Web 核心防護頁面的地區封鎖地區,單擊建立模板,並完成以下配置。

  • 模板名稱:為該模板設定一個名稱。

  • 是否設定為預設範本:地區封鎖模組僅能設定一個預設範本,且僅能在建立模板時設定。

    • :無需設定生效對象,模板建立時,預設對所有防護對象和對象組生效,後續新增的對象也自動生效。支援手動將特定對象排除(設定為“未生效”)。

    • :需要設定生效對象,手動指定其生效的防護對象或對象組。

步驟二:在防護模板中配置防護規則

規則配置地區,完成以下配置。

  • 規則動作:選擇當請求命中該規則時,要執行的防護動作。

    • 攔截:攔截命中規則的請求,並向發起請求的用戶端返回攔截響應頁面。

      說明

      WAF預設使用統一的攔截響應頁面,也可以通過自訂響應功能,自訂攔截響應頁面。

    • 觀察:不攔截命中規則的請求,僅通過日誌記錄請求命中的情況。在試運行規則時,可以先通過觀察模式分析WAF日誌,以確認未產生誤攔截,再將其調整為其他規則動作。

  • 封鎖地區:設定需攔截或觀察的用戶端 IP 所屬地理位置。配置粒度如下:

    • 中國境內:支援按省份維度配置(如河南),不支援地級市(如鄭州)。

    • 中國境外:支援按國家或一級行政區(如日本沖繩縣、美國華盛頓州)維度配置。

步驟三:設定防護模板生效對象

生效對象地區,選擇要應用於該模板的防護對象和防護對象組

模板的生效方式取決於在步驟一的配置:

  • 設定為預設防護模板:無需設定生效對象,模板建立時,預設對所有防護對象和對象組生效,後續新增的對象也自動生效。支援手動將特定對象排除(設定為“未生效”)。

  • 未設為預設防護模板:需要手動設定生效的防護對象和防護對象組。

說明

模板建立時與建立完成後,均支援手動調整防護對象或防護對象組生效狀態。

日常營運

管理防護模板

建立的防護模板預設開啟,可以在防護模板列表執行如下操作:

  • 查看模板關聯的防護對象/組的數量。

  • 通過模板開關,開啟或關閉模板。

  • 編輯刪除複製防護模板。

  • 單擊防護模板名稱左側的展開表徵圖 表徵圖,查看該防護模板包含的規則資訊。

管理防護規則

建立的規則預設開啟。可以在規則列表執行如下操作:

  • 查看規則ID資訊。

  • 通過狀態開關,開啟或關閉規則。

常見問題

是否支援針對特定 URL 路徑或“網域名稱+路徑”組合配置地區封鎖?

不支援。地區封鎖模組僅基於 IP 地理位置(國家、省份)生效,無法細化到 URL 路徑層級。

隨用隨付版WAF配置地區封鎖後,能否減少WAF的流量費用?

不能。地區封鎖僅能阻止匹配的流量轉寄至後端伺服器,但該流量已抵達WAF,仍會計入WAF的流量費用。

配置地區封鎖後,為什麼指定的省/地區IP依然能訪問?

配置地區封鎖後,若指定省/地區的 IP 依然能夠訪問,請按照以下步驟進行排查:

  1. 檢查防護模板配置:確認目標防護模板的開關狀態為“已開啟”,規則動作設定為“攔截”,且該模板已正確關聯至目標防護對象。

  2. 排查白名單規則:白名單模組的優先順序高於地區封鎖模組。請檢查是否配置了白名單規則,導致相關請求被提前允許存取。

  3. 檢查七層代理接入配置:地區封鎖功能的有效性取決於 WAF 能否準確擷取用戶端真實 IP。若 WAF 前方部署了 CDN、DDoS 高防等七層代理裝置,必須在資產接入配置中,將“WAF前是否有七層代理(高防/CDN等)”選項設定為“”。若配置錯誤,將導致 WAF 無法擷取真實的用戶端 IP。更多資訊,請參見擷取真實用戶端資訊

WAF 地區封鎖規則引發後,是否支援針對單個 IP 解鎖或進行灰階轉寄?

  • 不支援針對單個 IP 手動解鎖。若需允許存取特定 IP,請通過白名單模組實現,使其跳過地區封鎖模組的檢測。

  • 不支援根據地區將流量灰階轉寄至不同的 SLB 執行個體。地區封鎖僅提供“攔截”與“觀察”兩種動作,不具備流量調度能力。