設(shè)置IP黑名單規(guī)則攔截特定請求
接入Web應(yīng)用防火墻(Web Application Firewall,簡稱WAF)后,您可以通過設(shè)置IP黑名單規(guī)則,攔截來自特定IP地址或地址段的請求。本文介紹如何創(chuàng)建IP黑名單規(guī)則模板并添加防護(hù)規(guī)則。
前提條件
已開通WAF 3.0服務(wù)。具體操作,請參見開通包年包月WAF 3.0、開通按量付費(fèi)WAF 3.0。
已將Web業(yè)務(wù)添加為WAF 3.0的防護(hù)對象。具體操作,請參見配置防護(hù)對象和防護(hù)對象組。
步驟一:創(chuàng)建IP黑名單規(guī)則模板
IP黑名單規(guī)則不提供默認(rèn)規(guī)則模板。如果您需要啟用IP黑名單規(guī)則,您必須新建一個(gè)規(guī)則模板,再配置對應(yīng)規(guī)則。
登錄Web應(yīng)用防火墻3.0控制臺。在頂部菜單欄,選擇WAF實(shí)例的資源組和地域(中國內(nèi)地、非中國內(nèi)地)。
在左側(cè)導(dǎo)航欄,選擇 。
在Web基礎(chǔ)防護(hù)頁面下方IP黑名單區(qū)域,單擊新建模板。
說明如果您是第一次新建IP黑名單規(guī)則模板,您也可以在Web基礎(chǔ)防護(hù)頁面上方的IP黑名單卡片區(qū)域,單擊立即配置。
在新建模板 - IP黑名單面板,完成以下配置,單擊確定。
配置項(xiàng)
說明
模板名稱
為該模板設(shè)置一個(gè)名稱。
長度為1~255個(gè)字符,支持中文和大小寫英文字母,可包含數(shù)字、半角句號(.)、下劃線(_)和短劃線(-)。
是否設(shè)置為默認(rèn)模板
選擇是否將該模板設(shè)置為當(dāng)前防護(hù)模塊的默認(rèn)模板。
一個(gè)防護(hù)模塊只允許設(shè)置一個(gè)默認(rèn)模板。默認(rèn)模板無需設(shè)置生效對象,默認(rèn)應(yīng)用于所有未關(guān)聯(lián)到自定義規(guī)則模板的防護(hù)對象和對象組(包括后續(xù)新增、從自定義規(guī)則模板中移除的防護(hù)對象和對象組)。
規(guī)則配置
您可以單擊新建規(guī)則,為當(dāng)前模板新建IP黑名單規(guī)則。您也可以忽略該設(shè)置,在創(chuàng)建規(guī)則模板后,再為模板新建規(guī)則。具體操作,請參見步驟二:在IP黑名單規(guī)則模板中添加IP黑名單規(guī)則。
生效對象
從已添加的防護(hù)對象及對象組中,選擇要應(yīng)用該模板的防護(hù)對象和防護(hù)對象組。
一個(gè)防護(hù)對象或?qū)ο蠼M只能關(guān)聯(lián)到當(dāng)前防護(hù)模塊下的一個(gè)模板。關(guān)于添加防護(hù)對象和對象組的具體操作,請參見配置防護(hù)對象和防護(hù)對象組。
新建的規(guī)則模板默認(rèn)開啟。您可以在規(guī)則模板列表執(zhí)行如下操作:
查看模板關(guān)聯(lián)的防護(hù)對象/組的數(shù)量。
通過模板開關(guān),開啟或關(guān)閉模板。
編輯或刪除規(guī)則模板。
單擊規(guī)則模板名稱左側(cè)的圖標(biāo),查看規(guī)則模板包含的規(guī)則。
說明查看安全報(bào)表時(shí),如果將Bot管理中的攻擊處置為添加至黑名單,WAF會自動創(chuàng)建一個(gè)規(guī)則模板名稱為AutoTemplate的模板,并自動添加一條規(guī)則動作為攔截的黑名單規(guī)則。更多信息,請參見Bot管理。
步驟二:在IP黑名單規(guī)則模板中添加IP黑名單規(guī)則
只有添加IP黑名單規(guī)則后,IP黑名單規(guī)則模板才具有防護(hù)作用。如果您已在創(chuàng)建規(guī)則模板時(shí)添加了對應(yīng)規(guī)則,可跳過該步驟。
登錄Web應(yīng)用防火墻3.0控制臺。在頂部菜單欄,選擇WAF實(shí)例的資源組和地域(中國內(nèi)地、非中國內(nèi)地)。
在左側(cè)導(dǎo)航欄,選擇 。
在IP黑名單區(qū)域,定位到要新建規(guī)則的規(guī)則模板,單擊操作列的新建規(guī)則。
在新建規(guī)則對話框,完成以下配置,單擊確定。
配置項(xiàng)
說明
規(guī)則名稱
為該規(guī)則設(shè)置一個(gè)名稱。
支持中文和大小寫英文字母,可包含數(shù)字、半角句號(.)、下劃線(_)和短劃線(-)。
IP黑名單
添加IP黑名單。規(guī)則生效后,如果您的請求來源IP在該IP黑名單范圍內(nèi),則請求命中規(guī)則,請求被攔截。要求如下:
支持使用IPv4和IPv6地址(例如
1.1.XX.XX
、2001:XXXX:ffff:ffff:ffff:ffff:ffff:ffff
)。支持使用IPv4網(wǎng)段和IPv6網(wǎng)段(例如
1.1.XX.XX/16
、2001:XXXX:XXXX:XXXX::/64)。每輸入一個(gè)IP地址,按回車進(jìn)行確認(rèn)。
最多支持設(shè)置200個(gè)IP地址。
規(guī)則動作
選擇當(dāng)請求命中該規(guī)則時(shí),要執(zhí)行的防護(hù)動作。可選項(xiàng):
攔截:表示攔截命中規(guī)則的請求,并向發(fā)起請求的客戶端返回?cái)r截響應(yīng)頁面。
說明WAF默認(rèn)使用統(tǒng)一的攔截響應(yīng)頁面,您可以通過自定義響應(yīng)功能,自定義攔截響應(yīng)頁面。更多信息,請參見設(shè)置自定義響應(yīng)規(guī)則配置攔截響應(yīng)頁面。
觀察:表示不攔截命中規(guī)則的請求,只通過日志記錄請求命中了規(guī)則。您可以通過WAF日志,查詢命中當(dāng)前規(guī)則的請求,分析規(guī)則的防護(hù)效果(例如,是否有誤攔截等)。
重要只有開通日志服務(wù),您才可以使用日志查詢功能。更多信息,請參見開啟或關(guān)閉日志服務(wù)。
觀察模式方便您試運(yùn)行首次配置的規(guī)則,待確認(rèn)規(guī)則沒有產(chǎn)生誤攔截后,再將規(guī)則設(shè)置為攔截模式。
說明您可以通過安全報(bào)表,查詢攔截類、觀察類防護(hù)規(guī)則的命中詳情。更多信息,請參見安全報(bào)表。
新建的規(guī)則默認(rèn)開啟。您可以在規(guī)則模板列表執(zhí)行如下操作:
通過狀態(tài)開關(guān),開啟或關(guān)閉規(guī)則。
編輯或刪除規(guī)則。
后續(xù)步驟
您可以在安全報(bào)表頁面的IP黑名單頁簽,查詢防護(hù)規(guī)則的防護(hù)詳情。更多信息,請參見IP黑名單、自定義規(guī)則、掃描防護(hù)、CC防護(hù)或區(qū)域封禁。
相關(guān)文檔
防護(hù)配置概述:介紹防護(hù)對象、防護(hù)模塊及防護(hù)流程等信息。
CreateDefenseTemplate - 創(chuàng)建防護(hù)模板:您可以調(diào)用該接口,創(chuàng)建防護(hù)模板。
CreateDefenseRule - 創(chuàng)建防護(hù)規(guī)則:您可以調(diào)用該接口,設(shè)置參數(shù)DefenseScene為ip_blacklist,并配置規(guī)則內(nèi)容,創(chuàng)建一個(gè)IP黑名單防護(hù)規(guī)則。