设置IP黑名单规则拦截特定IP地址
Web应用防火墙(Web Application Firewall,简称WAF)的IP黑名单模块适用于拦截已知恶意IP及特定IP段,构建精准、高效的第一道安全防线。
适用场景说明
WAF IP黑名单防护模块适用于需精准拦截已知恶意IP或特定IP段的场景。
推荐使用的场景
已知攻击源封禁:经日志分析或攻防演练确认某IP为扫描器、爬虫、暴力破解工具或僵尸网络节点时,可将其加入黑名单直接封禁。
临时应急封堵:遭遇突发攻击且流量源自少量固定IP时,可快速创建黑名单规则作为初步防线,为后续深度分析争取时间。
合规或地域限制:企业需遵守数据主权或业务区域限制(如禁止特定IP访问)时,若仅需封锁具体的IP段,可使用IP黑名单。
不推荐使用的场景
攻击者使用动态IP:若攻击者通过大量动态IP、公共代理(如CC攻击场景)或云函数发起请求,仅依赖IP黑名单难以有效防护,建议结合CC防护或自定义规则-频率控制模块。
需精细化区分用户行为:若需根据请求路径、参数或Header进行差异化处置,IP黑名单无法满足需求,应使用自定义规则模块。
关键概念
IP黑名单:Web核心防护中的防护模块之一。启用此模块前必须创建防护模板,系统支持创建多个防护模板。
防护模板:防护模板是防护规则的集合,用于定义具体的规则内容和作用范围。其由以下三部分组成:模板类型、防护规则、生效对象。
模板类型:防护模板创建时需指定类型,且创建后不可更改。模板类型分为以下两种:
模板类型
说明
适用场景
默认防护模板
模板创建时,默认对所有防护对象和对象组生效,后续新增的对象也自动生效。
支持手动将特定对象排除(设置为“未生效”)。
在IP黑名单模块下,仅能创建一个默认防护模板。
部署通用的、需全局执行的防护规则。
自定义防护模板
必须手动指定其生效的防护对象或对象组。
针对特定业务(如登录、支付接口)部署精细化的防护规则。
防护规则:定义具体的检测逻辑和响应措施。一个防护模板可包含多条防护规则,每条规则由以下两部分组成:
IP地址黑名单列表:指定需要拦截或观察的客户端 IP 地址或地址段。
规则动作:定义命中规则后的处置措施,支持拦截与观察。
生效对象:指定防护模板的应用目标。通过生效对象设置,将防护规则应用到指定的防护对象或防护对象组。一个防护对象或对象组可以关联多个防护模板。
防护对象:每个接入 WAF 的域名或云产品实例,系统会为其自动创建一个防护对象。
防护对象组:可将多个防护对象加入一个防护对象组,以便集中管理。
操作步骤
执行以下步骤前,请确保已存在防护对象(已将Web业务接入WAF),若尚未将业务接入,请参见接入概述。
登录Web应用防火墙3.0控制台。在顶部菜单栏,选择WAF实例的资源组和地域(中国内地、非中国内地),在左侧导航栏,选择。
步骤一:配置防护模板类型
在Web 核心防护页面的IP黑名单区域,单击新建模板,并完成以下配置。
模板名称:为该模板设置一个名称。
是否设置为默认模板:IP黑名单模块仅能设置一个默认模板,且仅能在新建模板时设置。
是:无需设置生效对象,模板创建时,默认对所有防护对象和对象组生效,后续新增的对象也自动生效。支持手动将特定对象排除(设置为“未生效”)。
否:需要设置生效对象,手动指定其生效的防护对象或对象组。
步骤二:在防护模板中添加防护规则
在规则配置区域,单击新建规则,完成以下配置。
规则名称:为该规则设置一个名称。
IP黑名单:设置需要拦截或观察的客户端 IP 地址或地址段,填写要求如下:
支持IPv4和IPv6地址(例如
1.1.XX.XX、2001:XXXX:ffff:ffff:ffff:ffff:ffff:ffff)。支持IPv4网段和IPv6网段(例如
1.1.XX.XX/16、2001:XXXX:XXXX:XXXX::/64)。每输入一个IP地址,按回车进行确认。
最多支持设置200个IP地址。
规则动作:选择当请求命中该规则时,要执行的防护动作。
拦截:拦截命中规则的请求,并向发起请求的客户端返回拦截响应页面。
说明WAF默认使用统一的拦截响应页面,也可以通过自定义响应功能,自定义拦截响应页面。
观察:不拦截命中规则的请求,仅通过日志记录请求命中的情况。在试运行规则时,可以先通过观察模式分析WAF日志,以确认未产生误拦截,再将其调整为其他规则动作。
步骤三:设置防护模板生效对象
在生效对象区域,选择要应用于该模板的防护对象和防护对象组。
模板的生效方式取决于在步骤一的配置:
设置为默认防护模板:无需设置生效对象,模板创建时,默认对所有防护对象和对象组生效,后续新增的对象也自动生效。支持手动将特定对象排除(设置为“未生效”)。
未设为默认防护模板:需要手动设置生效的防护对象和防护对象组。
模板创建时与创建完成后,均支持手动调整防护对象或防护对象组生效状态。
日常运维
管理防护模板
新建的防护模板默认开启,可以在防护模板列表执行如下操作:
查看模板关联的防护对象/组的数量。
通过模板开关,开启或关闭模板。
为该模板新建规则。
编辑、删除或复制防护模板。
单击防护模板名称左侧的
图标,查看该防护模板包含的规则信息。
管理防护规则
新建的规则默认开启。可以在规则列表执行如下操作:
查看规则ID、规则条件等信息。
通过状态开关,开启或关闭规则。
编辑或删除规则。
常见问题
为什么配置的IP黑名单规则不生效?
若已配置IP黑名单模板但防护未生效,请按以下顺序排查:
检查模板状态与生效对象
确认IP黑名单模板及其规则的状态均为“开启”,且模板的生效对象设置正确并已处于生效状态。检查白名单配置
白名单优先级高于黑名单。请核查是否存在匹配当前流量的白名单规则,若流量命中白名单,将跳过IP黑名单检测。检查七层代理配置
若WAF前部署了CDN等七层代理,需确认接入配置中WAF前是否有七层代理(高防/CDN等)选项已设置为“是”。配置错误会导致WAF无法获取真实客户端IP,从而导致基于IP的黑名单规则失效。具体配置,请参见获取真实客户端信息。检查端口均接入了WAF
确认所有业务端口均已接入WAF。以云产品接入ECS为例,若源站业务端口为HTTP 80与HTTPS 443,无论源站是否配置强制跳转规则,两个端口均须接入WAF。否则未接入的端口流量将绕过WAF直接到达源站。
按量付费版WAF配置IP黑名单规则后,能减少WAF的流量费用吗?
配置IP黑名单规则无法减免WAF的流量费用。被IP黑名单拦截的请求仍会到达WAF并计入QPS(每秒请求数),因此会产生相应的WAF处理费用。但此类请求不会被转发至后端源站,因此将已知恶意IP加入黑名单可有效减轻源站的负载压力。
IP黑名单与自定义规则有什么区别?
IP黑名单与自定义规则的主要区别如下:
1. 匹配条件不同
IP黑名单:仅支持基于客户端的来源IP地址或IP地址段进行单一条件匹配。
自定义规则:支持基于来源IP、请求路径(URL)、请求头(如User-Agent、Referer)、请求参数等多个HTTP字段进行组合条件匹配,并支持访问频率限制。
2. 防护动作不同
IP黑名单:命中规则后仅支持拦截与观察动作。
自定义规则:支持多种处置动作,除了拦截与观察外,还支持弹出验证码、JavaScript验证等。
3. 适用场景不同
IP黑名单:适用于对已知恶意IP或特定地域IP进行全局封禁。
自定义规则:适用于针对特定URL路径、特定请求特征或高频访问行为的精准防护与精细化访问控制。
配置IP黑名单规则后,能否查看到命中的攻击记录?
是的,配置IP黑名单规则后,系统支持查看命中该规则的记录。所有触发IP黑名单的请求,均会在安全报表中生成并展示相应的攻击记录。