全部产品
Search

搜索本产品

    Web 应用防火墙:设置区域封禁规则封禁特定区域请求

    文档中心

    Web 应用防火墙:设置区域封禁规则封禁特定区域请求

    更新时间:Jun 24, 2026

    接入 Web应用防火墙(Web Application Firewall,简称WAF)后,可以配置区域封禁规则,通过拦截来自特定国家或地区的访问请求,有效应对区域性恶意流量。本文介绍如何创建区域封禁规则。

    关键概念

    • 区域封禁:Web核心防护中的防护模块之一,基于IP地理位置数据库实现。系统通过提取客户端真实IP地址,查询内置数据库以识别其所属的国家或省份。启用此模块前必须创建防护模板,系统支持创建多个防护模板。

    • 防护模板:防护模板是防护规则的集合,用于定义具体的规则内容和作用范围。其由以下三部分组成:模板类型、防护规则、生效对象。

      • 模板类型:防护模板创建时需指定类型,且创建后不可更改。模板类型分为以下两种:

        模板类型

        说明

        适用场景

        默认防护模板

        • 模板创建时,默认对所有防护对象和对象组生效,后续新增的对象也自动生效。

        • 支持手动将特定对象排除(设置为“未生效”)。

        • 在区域封禁模块下,仅能创建一个默认防护模板。

        部署通用的、需全局执行的防护规则。

        自定义防护模板

        必须手动指定其生效的防护对象或对象组。

        针对特定业务(如登录、支付接口)部署精细化的防护规则。

      • 防护规则:定义具体的检测逻辑和响应措施。防护规则由以下两部分组成:

        • 封禁区域:指定需要拦截或观察的客户端 IP 地址所属地理位置。

        • 规则动作:定义命中规则后的处置措施,支持拦截观察

      • 生效对象:指定防护模板的应用目标。通过生效对象设置,将防护规则应用到指定的防护对象或防护对象组。一个防护对象或对象组仅能关联一个区域封禁防护模板。

        • 防护对象:每个接入 WAF 的域名或云产品实例,系统会为其自动创建一个防护对象。

        • 防护对象组:可将多个防护对象加入一个防护对象组,以便集中管理。

    操作步骤

    说明

    • 操作前提:执行以下步骤前,请确保已存在防护对象(已将Web业务接入WAF),若尚未将业务接入,请参见接入概述

    • WAF前置代理情况下的正确配置:该功能的有效性取决于WAF能否准确获取客户端真实IP。若WAF前方部署了CDN、DDoS高防等七层代理设备,必须在资产接入配置时将“WAF前是否有七层代理(高防/CDN等)”选项设置为“”。配置错误将导致WAF无法获取真实客户端IP,致使防护失效。更多信息,请参见获取真实客户端信息

    登录Web应用防火墙3.0控制台。在顶部菜单栏,选择WAF实例的资源组和地域(中国内地非中国内地),在左侧导航栏,选择防护配置 > Web 核心防护

    步骤一:配置防护模板类型

    Web 核心防护页面的区域封禁区域,单击新建模板,并完成以下配置。

    • 模板名称:为该模板设置一个名称。

    • 是否设置为默认模板:区域封禁模块仅能设置一个默认模板,且仅能在新建模板时设置。

      • :无需设置生效对象,模板创建时,默认对所有防护对象和对象组生效,后续新增的对象也自动生效。支持手动将特定对象排除(设置为“未生效”)。

      • :需要设置生效对象,手动指定其生效的防护对象或对象组。

    步骤二:在防护模板中配置防护规则

    规则配置区域,完成以下配置。

    • 规则动作:选择当请求命中该规则时,要执行的防护动作。

      • 拦截:拦截命中规则的请求,并向发起请求的客户端返回拦截响应页面。

        说明

        WAF默认使用统一的拦截响应页面,也可以通过自定义响应功能,自定义拦截响应页面。

      • 观察:不拦截命中规则的请求,仅通过日志记录请求命中的情况。在试运行规则时,可以先通过观察模式分析WAF日志,以确认未产生误拦截,再将其调整为其他规则动作。

    • 封禁区域:设定需拦截或观察的客户端 IP 所属地理位置。配置粒度如下:

      • 中国境内:支持按省份维度配置(如河南),不支持地级市(如郑州)。

      • 中国境外:支持按国家或一级行政区(如日本冲绳县、美国华盛顿州)维度配置。

    步骤三:设置防护模板生效对象

    生效对象区域,选择要应用于该模板的防护对象和防护对象组

    模板的生效方式取决于在步骤一的配置:

    • 设置为默认防护模板:无需设置生效对象,模板创建时,默认对所有防护对象和对象组生效,后续新增的对象也自动生效。支持手动将特定对象排除(设置为“未生效”)。

    • 未设为默认防护模板:需要手动设置生效的防护对象和防护对象组。

    说明

    模板创建时与创建完成后,均支持手动调整防护对象或防护对象组生效状态。

    日常运维

    管理防护模板

    新建的防护模板默认开启,可以在防护模板列表执行如下操作:

    • 查看模板关联的防护对象/组的数量。

    • 通过模板开关,开启或关闭模板。

    • 为该模板新建规则

    • 编辑删除复制防护模板。

    • 单击防护模板名称左侧的展开图标 图标,查看该防护模板包含的规则信息。

    管理防护规则

    新建的规则默认开启。可以在规则列表执行如下操作:

    • 查看规则ID规则条件等信息。

    • 通过状态开关,开启或关闭规则。

    • 编辑删除规则。

    常见问题

    是否支持针对特定 URL 路径或“域名+路径”组合配置区域封禁?

    不支持。区域封禁模块仅基于 IP 地理位置(国家、省份)生效,无法细化到 URL 路径级别。

    按量付费版WAF配置区域封禁后,能否减少WAF的流量费用?

    不能。区域封禁仅能阻止匹配的流量转发至后端服务器,但该流量已抵达WAF,仍会计入WAF的流量费用。

    配置区域封禁后,为什么指定的国家/地区IP依然能访问?

    配置区域封禁后,若指定国家/地区的 IP 依然能够访问,请按照以下步骤进行排查:

    1. 检查防护模板配置:确认目标防护模板的开关状态为“已开启”,规则动作设置为“拦截”,且该模板已正确关联至目标防护对象。

    2. 排查白名单规则:白名单模块的优先级高于区域封禁模块。请检查是否配置了白名单规则,导致相关请求被提前放行。

    3. 检查七层代理接入配置:区域封禁功能的有效性取决于 WAF 能否准确获取客户端真实 IP。若 WAF 前方部署了 CDN、DDoS 高防等七层代理设备,必须在资产接入配置中,将“WAF前是否有七层代理(高防/CDN等)”选项设置为“”。若配置错误,将导致 WAF 无法获取真实的客户端 IP。更多信息,请参见获取真实客户端信息

    WAF 区域封禁规则触发后,是否支持针对单个 IP 解封或进行灰度转发?

    • 不支持针对单个 IP 手动解封。若需放行特定 IP,请通过白名单模块实现,使其跳过区域封禁模块的检测。

    • 不支持根据地域将流量灰度转发至不同的 SLB 实例。区域封禁仅提供“拦截”与“观察”两种动作,不具备流量调度能力。