当需放行具有指定特征的请求时,可配置白名单规则,使该请求跳过全部或特定防护模块(如 Web 核心防护规则、IP 黑名单、自定义规则、扫描防护等)的检测。
关键概念
白名单:WAF提供的功能模块之一,用于放行具有指定特征的请求,使请求不经过全部或特定防护模块的检测。需通过创建白名单模板启用此模块,系统支持创建多个白名单模板。
白名单模板:模板是白名单规则的集合,用于定义具体的规则内容和作用范围。其由以下三部分组成:模板类型、白名单规则、生效对象。
模板类型:模板创建时需指定类型,且创建后不可更改。模板类型分为以下两种:
模板类型
说明
适用场景
默认模板
购买WAF后,系统即创建一个不含任何规则的默认模板。
模板创建时,默认对所有防护对象和对象组生效,后续新增的对象也自动生效。
支持手动将特定对象排除(设置为“未生效”)。
在白名单模块下,仅能创建一个默认模板。
部署通用的、需全局执行的规则。
自定义模板
必须手动指定其生效的防护对象或对象组。
针对特定业务(如登录、支付接口)部署精细化的规则。
白名单规则:定义具体的检测逻辑和生效模块。一个模板可包含多条规则,每条规则由以下两部分组成:
匹配条件:定义检测的请求特征(如请求路径、客户端 IP 地址等)。
不检测模块:定义命中匹配条件的请求无需经过的防护模块。
生效对象:指定模板的应用目标。通过生效对象设置,将白名单规则应用到指定的防护对象或防护对象组。一个防护对象或对象组可以关联多个白名单模板。
防护对象:每个接入 WAF 的域名或云产品实例,系统会为其自动创建一个防护对象。
防护对象组:可将多个防护对象加入一个防护对象组,以便集中管理。
操作步骤
执行以下步骤前,请确保已存在防护对象(已将Web业务接入WAF),若尚未将业务接入,请参见接入概述。
登录Web应用防火墙3.0控制台。在顶部菜单栏,选择WAF实例的资源组和地域(中国内地、非中国内地),在左侧导航栏,选择。
步骤一:配置白名单模板类型
购买WAF后,系统将创建一个不含任何规则的默认模板。若无配置多个模板或指定生效对象等特殊业务需求,请直接使用user_default模板,单击编辑并跳过本步骤,继续阅读步骤二。
在白名单页面,单击新建模板。在新建模板 - 白名单面板,完成以下配置。
模板名称:为该模板设置一个名称。
是否设置为默认模板:白名单模块仅能设置一个默认模板,且仅能在新建模板时设置。
是:无需设置生效对象,模板创建时,默认对所有防护对象和对象组生效,后续新增的对象也自动生效。支持手动将特定对象排除(设置为“未生效”)。
否:需要设置生效对象,手动指定其生效的防护对象或对象组。
步骤二:在模板中添加白名单规则
在规则配置区域,单击新建规则,完成以下配置,单击确定。
规则名称:为该规则设置一个名称。
匹配条件:设置该规则要匹配的请求特征。通过单击新增条件添加一个条件。每个条件由匹配字段、逻辑符和匹配内容组成。配置示例如下:
说明若规则包含多个条件,则请求必须满足所有条件(逻辑与关系),才能命中该规则。关于匹配字段和逻辑符的详细说明,请参见匹配条件说明。
匹配字段
逻辑符
匹配内容
说明
URI Path
包含
/login.php当请求的路径包含
/login.php时,则请求命中该规则。IP
属于
192.1.XX.XX当客户端IP为
192.1.XX.XX时,则请求命中该规则。不检测模块:设置命中匹配条件的请求无需经过的防护模块。可选项:
全部不检测:适用于完全信任流量的放行场景。
自定义:适用于精细控制白名单规则的场景,使请求流量仅跳过部分防护模块的检测,而非全部防护模块。
全部不检测
命中匹配条件的请求将跳过所有防护模块,直接放行至源站服务器。
自定义
选择此项后,从下列模块中勾选需跳过的防护模块。
Web 核心防护规则
全部规则
跳过Web 核心防护规则中全部规则的检测。
特定规则ID
跳过指定规则ID的检测,每输入一个规则ID后,按回车确认。
最多支持输入50个规则ID,包括重保场景防护中的规则ID。
特定模块
跳过指定类型规则的检测,根据规则类型按需进行勾选。
特定字段
指定特定字段,Web 核心防护规则不会对指定的字段进行检测。最多支持配置10个字段。
字段类型
配置说明
URI
支持配置全部字段或指定字段。
配置指定字段时,支持设置URL或URL Path。
Header
支持配置全部字段或指定字段。
配置指定字段时,若填写内容为
q,则实际生效内容为header.q。
Query String Parameter
支持配置全部字段或指定字段。
配置指定字段时,若填写内容为
q,则实际生效内容为queryarg.q。
Cookie Name
支持配置全部字段或指定字段。
配置指定字段时,若填写内容为
q,则实际生效内容为cookie.q。
Body
仅支持配置全部字段。
例如,某电商网站使用如下搜索接口,当用户搜索内容包含特殊符号如
&、"时,Web 核心防护规则可能因检测到疑似攻击特征而拦截请求,导致正常搜索失败。GET /search?q=phone此示例中,设置字段类型为Query String Parameter,范围为指定字段,指定字段填写
q,即可在不完全禁用Web 核心防护规则的同时,实现对Query字段的加白。IP黑名单
全部规则
跳过IP黑名单中全部规则的检测。
特定规则ID
跳过指定规则ID的检测,每输入一个规则ID后,按回车确认。最多支持输入50个规则ID。
自定义规则
全部规则
跳过自定义规则中全部规则的检测。
特定规则ID
跳过指定规则ID的检测,每输入一个规则ID后,按回车确认。最多支持输入50个规则ID。
扫描防护:跳过扫描防护中全部规则的检测。
CC防护:跳过CC防护中全部规则的检测。
区域封禁:跳过区域封禁中全部规则的检测。
网页防篡改:跳过网页防篡改中全部规则的检测。
信息泄露防护:跳过信息泄露防护中全部规则的检测。
重保防护:跳过重保防护中全部规则的检测。
洪峰限流:跳过洪峰限流中全部规则的检测。
AI应用防护:跳过AI应用防护中全部规则的检测。
Bot管理
全部规则
跳过Bot管理中全部规则的检测。
特定规则ID
跳过指定规则ID的检测,每输入一个规则ID后,按回车确认。最多支持输入50个规则ID。
特定规则
跳过指定规则的检测,按规则名称进行配置。支持配置新版Bot管理Web防护与新版Bot管理App防护中的规则,若您使用Bot管理(旧版),或未配置相应的Web/App防护,则此处的配置不会生效。
步骤三:设置白名单模板生效对象
在生效对象区域,选择要应用于该模板的防护对象和防护对象组。
模板的生效方式取决于在步骤一的配置:
使用系统创建的默认模板,或设置为默认模板:无需设置生效对象,模板创建时,默认对所有防护对象和对象组生效,后续新增的对象也自动生效。支持手动将特定对象排除(设置为“未生效”)。
未设为默认模板:需要手动设置生效的防护对象和防护对象组。
模板创建时与创建完成后,均支持手动调整防护对象或防护对象组生效状态。
日常运维
管理白名单模板
新建的白名单模板默认开启,可以在模板列表执行如下操作:
查看模板关联的防护对象/组的数量。
通过模板开关,开启或关闭模板。
为该模板新建规则。
编辑、删除或复制模板。
单击模板名称左侧的
图标,查看该模板包含的规则信息。
管理白名单规则
新建的规则默认开启。可以在规则列表执行如下操作:
查看规则ID、规则条件等信息。
通过状态开关,开启或关闭规则。
编辑或删除规则。
常见问题
为什么配置的白名单不生效?
若配置的规则未按预期生效,请按以下顺序检查:
模板开关:确认模板以及规则状态均为开启状态。
生效对象:确认模板的生效对象为已生效。
规则配置:确认白名单规则的配置,重点关注匹配条件的正确性,确保请求能够匹配。
名为“AutoTemplate”的白名单模板的作用是什么?
当满足以下任一条件时,WAF会自动创建名为AutoTemplate的白名单模板,并向其中添加一条白名单规则: