在多個 Web Application Firewall(Web Application Firewall,簡稱WAF)防護規則中重複使用同一組 IP 位址時,逐條手動設定和維護易導致效率低下和配置錯誤。IP 位址簿功能支援建立可複用的 IP 位址集合,並將其關聯至多個防護規則。當 IP 位址變更時,僅需在地址簿中更新,所有引用該地址簿的規則將自動同步,從而簡化配置並確保策略一致性。
適用範圍
支援的防護模組:所有在防護規則中,允許將匹配字段配置為IP的防護模組均受支援。
IP地址數量限制:不同WAF版本下,支援添加的IP地址總數存在差異,具體資訊,請參見版本說明。
接入形態限制:不支援Function ComputeFC,MSE需升級至2.0.18版本及以上,APIG需升級至2.1.13版本及以上。
操作步驟
建立IP地址簿
登入Web Application Firewall3.0控制台。在頂部功能表列,選擇WAF執行個體的資源群組和地區(中国内地、非中国内地)。
在左側導覽列,選擇。
單擊新建IP地址簿,完成如下配置後,單擊确认。
地址簿名称:填寫一個便於識別的名稱。
地址簿描述:根據業務用途填寫便於識別的描述。
IP地址:填寫加入地址簿的IP地址,支援手工输入與CSV文件上传兩種方式。
手工输入:在下方輸入框填寫IP地址,填寫樣本如下:
203.0.113.1,203.0.113.0/24,2001:db8::1,2001:db8::/32CSV文件上传:單擊上传文件,選擇 CSV 格式的檔案進行上傳。每個檔案最多包含 2000 個 IP 位址或 IP 段,且檔案大小不得超過 1 MB。若需上傳大量 IP 位址,請分多次操作。CSV檔案內容樣本如下:
Address 203.0.113.1 203.0.113.0/24 2001:db8::1 2001:db8::/32
將IP地址簿應用於防護規則
地址簿建立後可應用於防護規則,以避免因重複配置而增加維護複雜性。以白名单模組為例:在建立白名單規則且匹配字段為IP時,可選擇已建立的 IP 位址簿。單條規則最多關聯 5 個 IP 位址簿。具體操作,請參見在模板中添加白名單規則。
日常營運
查看地址簿關聯的防護規則:定位到目標IP地址簿,單擊其关联规则列的
表徵圖查看。搜尋地址簿:在頁面上方新建IP地址簿右側的搜尋方塊中,可按地址簿名稱或IP地址進行搜尋。其中,按IP地址搜尋僅支援精確匹配。例如,若地址簿中配置的是
192.168.1.0/24,則無法通過192.168.1.10查詢到該地址簿。編輯IP地址簿:定位到目標IP地址簿,單擊其操作列的编辑,進行新增IP地址、导入IP地址、清空IP地址等操作。
刪除IP地址簿:定位到目標IP地址簿,單擊其操作列的刪除。僅能刪除未關聯防護規則的地址簿。
常見問題
IP地址簿功能收費嗎?
IP地址簿功能免費,但不同WAF版本下,支援添加的IP地址總數存在差異,具體資訊,請參見版本說明。
預設的“Security Center漏洞掃描IP”作用是什嗎?
系统内置地址簿“云安全中心漏洞扫描IP”用於儲存Security Center的漏洞掃描 IP 位址。若已啟用Security Center,可直接引用該地址簿建立白名單規則,以確保Security Center Web 掃描器能夠正常訪問伺服器並執行主動驗證。更多資訊,請參見掃描漏洞。