自定义设置IP黑白名单，禁止允许某些IP/IP段的访问请求

● Web应用防火墙WAF已添加防护网站。

○ 云模式的接入方式参见网站接入WAF（云模式）章节。

○ 独享模式的接入方式参见网站接入WAF（独享模式）章节。

● 云模式各版本、独享模式支持创建的IP黑白名单规则条数请参见服务版本差异。

● 如果您购买了云模式，当前版本的IP黑白名单防护规则条数不能满足要求时，您可以通过购买规则扩展包或升级云模式版本增加IP黑白名单防护规则条数，以满足的防护配置需求。有关升级规则的详细操作，请参见升级WAF云模式版本和规格。

● 入门版不支持该功能。

● WAF支持批量导入黑白名单，如果您需要配置多个IP/IP地址段规则，请添加地址组，详细操作请参见添加黑白名单IP地址组。

● 云模式的专业版（原企业版）和铂金版（原旗舰版）支持IPv6地址/IPv6地址段。

● 如果独享模式所在的ELB支持IPv6，独享模式也支持IPv6地址/IPv6地址段。

● 添加或修改防护规则后，规则生效需要等待几分钟。规则生效后，您可以在“防护事件”页面查看防护效果。

● WAF黑白名单规则不支持配置0.0.0.0/0 IP地址段，且白名单规则优先级高于黑名单规则。如果您需要放行某个网段指定的IP并拦截某个网段其他所有IP，请先添加黑名单规则，拦截将该网段的所有IP，然后添加白名单规则，放行指定IP。

须知：

● 如果您需要拦截所有来源IP或仅允许指定IP访问防护网站，请参见拦截所有来源IP或仅允许指定IP访问防护网站，如何配置？进行配置。

● 当黑白名单规则的“防护动作”设置为“拦截”时，您可以配置攻击惩罚标准。配置攻击惩罚后，如果访问者的IP、Cookie或Params恶意请求被拦截时，WAF将根据攻击惩罚设置的拦截时长来封禁访问者。

1.登录华为云管理控制台。

2.单击管理控制台左上角的，选择区域或项目。

3.单击页面左上方，选择“安全与合规 > Web应用防火墙 WAF”。

4.在左侧导航树中，选择“网站设置”，进入“网站设置”页面。

5.（旧版）在目标域名所在行的“防护策略”栏中，单击“配置防护策略”，进入“防护策略”页面。

6.（新版）在目标域名所在行的“防护策略”栏中，单击“已开启N项防护”，进入“防护策略”页面。

图1 域名列表

7.在“黑白名单设置”配置框中，用户可根据自己的需要更改“状态”，单击“自定义黑白名单设置规则”，进入黑白名单设置规则页面。

8.在“黑白名单”设置规则页面左上角，单击“添加规则”。

9.在弹出的对话框中，添加黑白名单规则，如图3和图4所示，参数说明如表1所示。

说明：将IP配置为仅记录后，来自该IP的访问，WAF将根据防护规则进行检测并记录该IP的防护事件数据。

其他的IP将根据配置的WAF防护规则进行检测。

表1 黑白名单参数说明

10.输入完成后，单击“确认添加”，添加的黑白名单展示在黑白名单规则列表中。

图5 黑白名单规则列表

● 规则添加成功后，默认的“规则状态”为“已开启”，若您暂时不想使该规则生效，可在目标规则所在行的“操作”列，单击“关闭”。

● 若需要修改添加的黑白名单规则时，可单击待修改的黑白名单IP规则所在行的“修改”，修改黑白名单规则。

● 若需要删除添加的黑白名单规则时，可单击待删除的黑白名单IP规则所在行的“删除”，删除黑白名单规则。

假如防护域名“www.example.com”已接入WAF，您可以参照以下操作步骤验证放行指定IP防护效果。

1.添加以下2条黑白名单规则，拦截所有来源IP。

 拦截1.0.0.0/1 IP地址段

 拦截128.0.0.0/1 IP地址段

您也可以通过添加一条精准访问防护规则，拦截所有访问请求，如图8所示。

图8 拦截所有访问请求

有关配置精准访问防护规则的详细介绍，请参见配置精准访问防护规则。

2.参照图9示例添加黑白名单规则，放行指定IP，例如，XXX.XXX.2.3. 放行指定IP

3.开启黑白名单防护规则。

图10 黑白名单配置框

4.清理浏览器缓存，在浏览器中访问“http://www.example.com”页面。

当访问者的源IP不属于2中设置的放行IP地址时，WAF将拦截该访问请求，拦截页面示例如图11所示。

图11 WAF拦截攻击请求

5.返回Web应用防火墙管理控制台，在左侧导航树中，单击“防护事件”，进入“防护事件”页面，您可以查看该防护事件。