设置IP黑名单规则拦截特定IP地址

更新时间:
复制 MD 格式

Web应用防火墙(Web Application Firewall,简称WAF)IP黑名单模块适用于拦截已知恶意IP及特定IP段,构建精准、高效的第一道安全防线。

适用场景说明

WAF IP黑名单防护模块适用于需精准拦截已知恶意IP或特定IP段的场景。

  • 推荐使用的场景

    • 已知攻击源封禁:经日志分析或攻防演练确认某IP为扫描器、爬虫、暴力破解工具或僵尸网络节点时,可将其加入黑名单直接封禁。

    • 临时应急封堵:遭遇突发攻击且流量源自少量固定IP时,可快速创建黑名单规则作为初步防线,为后续深度分析争取时间。

    • 合规或地域限制:企业需遵守数据主权或业务区域限制(如禁止特定IP访问)时,若仅需封锁具体的IP段,可使用IP黑名单。

  • 不推荐使用的场景

    • 攻击者使用动态IP:若攻击者通过大量动态IP、公共代理(如CC攻击场景)或云函数发起请求,仅依赖IP黑名单难以有效防护,建议结合CC防护自定义规则-频率控制模块。

    • 需精细化区分用户行为:若需根据请求路径、参数或Header进行差异化处置,IP黑名单无法满足需求,应使用自定义规则模块。

关键概念

  • IP黑名单:Web核心防护中的防护模块之一。启用此模块前必须创建防护模板,系统支持创建多个防护模板。

  • 防护模板:防护模板是防护规则的集合,用于定义具体的规则内容和作用范围。其由以下三部分组成:模板类型、防护规则、生效对象。

    • 模板类型:防护模板创建时需指定类型,且创建后不可更改。模板类型分为以下两种:

      模板类型

      说明

      适用场景

      默认防护模板

      • 模板创建时,默认对所有防护对象和对象组生效,后续新增的对象也自动生效。

      • 支持手动将特定对象排除(设置为“未生效”)。

      • IP黑名单模块下,仅能创建一个默认防护模板。

      部署通用的、需全局执行的防护规则。

      自定义防护模板

      必须手动指定其生效的防护对象或对象组。

      针对特定业务(如登录、支付接口)部署精细化的防护规则。

    • 防护规则:定义具体的检测逻辑和响应措施。一个防护模板可包含多条防护规则,每条规则由以下两部分组成:

      • IP地址黑名单列表:指定需要拦截或观察的客户端 IP 地址或地址段。

      • 规则动作:定义命中规则后的处置措施,支持拦截观察

    • 生效对象:指定防护模板的应用目标。通过生效对象设置,将防护规则应用到指定的防护对象或防护对象组。一个防护对象或对象组可以关联多个防护模板。

      • 防护对象:每个接入 WAF 的域名或云产品实例,系统会为其自动创建一个防护对象。

      • 防护对象组:可将多个防护对象加入一个防护对象组,以便集中管理。

操作步骤

说明

执行以下步骤前,请确保已存在防护对象(已将Web业务接入WAF),若尚未将业务接入,请参见接入概述

登录Web应用防火墙3.0控制台。在顶部菜单栏,选择WAF实例的资源组和地域(中国内地非中国内地),在左侧导航栏,选择防护配置 > Web 核心防护

步骤一:配置防护模板类型

Web 核心防护页面的IP黑名单区域,单击新建模板,并完成以下配置。

  • 模板名称:为该模板设置一个名称。

  • 是否设置为默认模板:IP黑名单模块仅能设置一个默认模板,且仅能在新建模板时设置。

    • :无需设置生效对象,模板创建时,默认对所有防护对象和对象组生效,后续新增的对象也自动生效。支持手动将特定对象排除(设置为“未生效”)。

    • :需要设置生效对象,手动指定其生效的防护对象或对象组。

步骤二:在防护模板中添加防护规则

规则配置区域,单击新建规则,完成以下配置。

  • 规则名称:为该规则设置一个名称。

  • IP黑名单:设置需要拦截或观察的客户端 IP 地址或地址段,填写要求如下:

    • 支持IPv4IPv6地址(例如1.1.XX.XX2001:XXXX:ffff:ffff:ffff:ffff:ffff:ffff)。

    • 支持IPv4网段和IPv6网段(例如1.1.XX.XX/162001:XXXX:XXXX:XXXX::/64)。

    • 每输入一个IP地址,按回车进行确认。

    • 最多支持设置200IP地址。

  • 规则动作:选择当请求命中该规则时,要执行的防护动作。

    • 拦截:拦截命中规则的请求,并向发起请求的客户端返回拦截响应页面。

      说明

      WAF默认使用统一的拦截响应页面,也可以通过自定义响应功能,自定义拦截响应页面。

    • 观察:不拦截命中规则的请求,仅通过日志记录请求命中的情况。在试运行规则时,可以先通过观察模式分析WAF日志,以确认未产生误拦截,再将其调整为其他规则动作。

步骤三:设置防护模板生效对象

生效对象区域,选择要应用于该模板的防护对象和防护对象组

模板的生效方式取决于在步骤一的配置:

  • 设置为默认防护模板:无需设置生效对象,模板创建时,默认对所有防护对象和对象组生效,后续新增的对象也自动生效。支持手动将特定对象排除(设置为“未生效”)。

  • 未设为默认防护模板:需要手动设置生效的防护对象和防护对象组。

说明

模板创建时与创建完成后,均支持手动调整防护对象或防护对象组生效状态。

日常运维

管理防护模板

新建的防护模板默认开启,可以在防护模板列表执行如下操作:

  • 查看模板关联的防护对象/组的数量。

  • 通过模板开关,开启或关闭模板。

  • 为该模板新建规则

  • 编辑删除复制防护模板。

  • 单击防护模板名称左侧的展开图标 图标,查看该防护模板包含的规则信息。

管理防护规则

新建的规则默认开启。可以在规则列表执行如下操作:

  • 查看规则ID规则条件等信息。

  • 通过状态开关,开启或关闭规则。

  • 编辑删除规则。

常见问题

为什么配置的IP黑名单规则不生效?

若已配置IP黑名单模板但防护未生效,请按以下顺序排查:

  1. 检查模板状态与生效对象
    确认IP黑名单模板及其规则的状态均为“开启”,且模板的生效对象设置正确并已处于生效状态。

  2. 检查白名单配置
    白名单优先级高于黑名单。请核查是否存在匹配当前流量的白名单规则,若流量命中白名单,将跳过IP黑名单检测。

  3. 检查七层代理配置
    WAF前部署了CDN等七层代理,需确认接入配置中WAF前是否有七层代理(高防/CDN等)选项已设置为“”。配置错误会导致WAF无法获取真实客户端IP,从而导致基于IP的黑名单规则失效。具体配置,请参见获取真实客户端信息

  4. 检查端口均接入了WAF

    确认所有业务端口均已接入WAF。以云产品接入ECS为例,若源站业务端口为HTTP 80HTTPS 443,无论源站是否配置强制跳转规则,两个端口均须接入WAF。否则未接入的端口流量将绕过WAF直接到达源站。

按量付费版WAF配置IP黑名单规则后,能减少WAF的流量费用吗?

配置IP黑名单规则无法减免WAF的流量费用。被IP黑名单拦截的请求仍会到达WAF并计入QPS(每秒请求数),因此会产生相应的WAF处理费用。但此类请求不会被转发至后端源站,因此将已知恶意IP加入黑名单可有效减轻源站的负载压力。

IP黑名单与自定义规则有什么区别?

IP黑名单与自定义规则的主要区别如下:

1. 匹配条件不同

  • IP黑名单:仅支持基于客户端的来源IP地址或IP地址段进行单一条件匹配。

  • 自定义规则:支持基于来源IP、请求路径(URL)、请求头(如User-Agent、Referer)、请求参数等多个HTTP字段进行组合条件匹配,并支持访问频率限制。

2. 防护动作不同

  • IP黑名单:命中规则后仅支持拦截观察动作。

  • 自定义规则:支持多种处置动作,除了拦截观察外,还支持弹出验证码、JavaScript验证等。

3. 适用场景不同

  • IP黑名单:适用于对已知恶意IP或特定地域IP进行全局封禁。

  • 自定义规则:适用于针对特定URL路径、特定请求特征或高频访问行为的精准防护与精细化访问控制。

配置IP黑名单规则后,能否查看到命中的攻击记录?

是的,配置IP黑名单规则后,系统支持查看命中该规则的记录。所有触发IP黑名单的请求,均会在安全报表中生成并展示相应的攻击记录。