地理位置访问控制_Web应用防火墙_一键地理位置封禁

Web应用防火墙(Web Application Firewall,WAF),通过对HTTP(S)请求进行检测,识别并阻断SQL注入、跨站脚本攻击、网页木马上传、命令/代码注入、文件包含、敏感文件访问、第三方应用漏洞攻击、CC攻击、恶意爬虫扫描、跨站请求伪造等攻击,保护Web服务安全稳定。


Web应用防火墙服务WAF支持您配置地理位置访问控制规则,支持针对指定国家、地区的来源IP自定义访问控制,以及一键封禁指定地理区域IP的访问能力。

地理位置访问控制规则,针对指定国家、地区的来源IP自定义访问控制

如何配置地理位置访问控制规则?

您可以通过Web应用防火墙服务配置地理位置访问控制规则。可针对指定国家、地区的来源IP自定义访问控制。

如果您仅允许某一地区的来源IP访问防护网站,请参见配置示例-仅允许某一地区来源IP访问请求进行配置。

说明:如果您已开通企业项目,您需要在“企业项目”下拉列表中选择您所在的企业项目并确保已开通操作权限,才能为该企业项目下域名配置防护策略。

前提条件

● Web应用防火墙WAF已添加防护网站。

○ 云模式的接入方式参见网站接入WAF(云模式)章节。

○ 独享模式的接入方式参见网站接入WAF(独享模式)章节。

约束条件

● Web应用防火墙入门版不支持该功能。

同一个地区只能配置到一条地理位置访问控制规则中。例如,如果某个地理位置访问控制规则已设置了“上海”地区,那么“上海”地区不能再添加到其他地理位置访问控制规则。

● 添加或修改防护规则后,规则生效需要几分钟。规则生效后,您可以在“防护事件”页面查看防护效果。

操作步骤

1.登录华为云管理控制台

2.单击管理控制台左上角的,选择区域或项目。

3.选择“安全与合规 > Web应用防火墙 WAF”。

4.在左侧导航树中,选择“网站设置”,进入“网站设置”页面。

5.(旧版)在目标域名所在行的“防护策略”栏中,单击“配置防护策略”,进入“防护策略”页面。

6.(新版)在目标域名所在行的“防护策略”栏中,单击“已开启N项防护”,进入“防护策略”页面。

图1 域名列表

7.在“地理位置访问控制”配置框中,用户可根据自己的需要更改“状态”,单击“自定义地理位置访问控制规则”,进入“地理位置访问控制”页面。

图2 地理位置访问控制配置框

8.在“地理位置访问控制”页面左上角,单击“添加规则”。

9.在弹出的对话框中,添加地理位置访问控制规则,如图3图4所示,根据表1表2配置参数。

图3 添加地理位置访问控制规则(新版)

须知:目前仅以下区域支持新版地理位置访问控制规则:华北-北京一、华北-北京四、华东-上海一华、东-上海二、西南-贵阳一、华南-广州、中国-香港、亚太-曼谷

图4 添加地理位置访问控制规则

表1 添加地理位置访问控制规则参数说明(新版)

参数
参数说明
取值样例

规则名称

用户自定义地理位置控制规则的名字。

dlfw

规则描述

可选参数,设置该规则的备注信息。

waf

地理位置

IP访问的地理范围,可以选择“中国境内”“中国境外”地区。

-

防护动作

可以根据需要选择“拦截”、“放行”或者“仅记录”

“拦截”

表2 添加地理位置访问控制规则参数说明

参数
参数说明
取值样例

地理位置

IP访问的地理范围。

-

防护动作

可以根据需要选择“拦截”、“放行”或者“仅记录”

“拦截”

规则描述

可选参数,设置该规则的备注信息。

-

10.单击“确认添加”,添加的地理位置访问控制规则展示在地理位置访问控制规则列表中。

图5 地理位置规则列表(新版)

图6 地理位置规则列表

● 规则添加成功后,默认的“规则状态”“已开启”,若您暂时不想使该规则生效,可在目标规则所在行的“操作”列,单击“关闭”。

● 若需要修改添加的地理位置访问控制规则时,可单击待修改的地理位置访问控制规则所在行的“修改”,修改地理位置访问控制规则。

● 若需要删除添加的地理位置访问控制规则时,可单击待删除的地理位置访问控制规则所在行的“删除”,删除地理位置访问控制规则。

配置示例-仅允许某一地区来源IP访问请求

假如防护域名“www.example.com”已接入WAF,当您只允许某一地区的IP可以访问防护域名,例如,只允许来源“上海”地区的IP可以访问防护域名,请参照以下步骤处理。

1.添加一条地理位置访问控制规则,添加“上海”地区的“放行”防护动作。

图7 添加“放行”防护动作(新版)

须知:目前仅以下区域支持新版地理位置访问控制规则:华北-北京一、华北-北京四、华东-上海一、华东-上海二、西南-贵阳一、华南-广州、中国-香港、亚太-曼谷

图8 添加“放行”防护动作

2.开启地理位置访问控制。

图9 地理位置访问控制配置框

3.配置一条精准访问防护规则,拦截所有的请求。

图10 拦截所有访问请求

有关配置精准访问防护规则的详细介绍,请参见配置精准访问防护规则

4.清理浏览器缓存,在浏览器中访问“http://www.example.com”页面。

当非“上海”地区的源IP访问页面时,WAF将拦截该访问请求,拦截页面示例如图11所示。

图11 WAF拦截攻击请求

5.返回Web应用防火墙管理控制台,在左侧导航树中,单击“防护事件”,进入“防护事件”页面,您可以查看到非“上海”地区的源IP都被拦截。

配置示例-拦截某一地区来源IP访问请求

假如防护域名“www.example.com”已接入WAF,您需要拦截所有来源“北京”地区的IP访问防护域名,可以参照以下操作步骤验证防护效果。

1.添加一条地理位置访问控制规则,设置“北京”地区“拦截”动作。

图12 拦截某一地区访问请求(新版)

须知:目前仅以下区域支持新版地理位置访问控制规则:华北-北京一、华北-北京四、华东-上海一、华东-上海二、西南-贵阳一、华南-广州、中国-香港、亚太-曼谷

图13 拦截某一地区访问请求

2.开启地理位置访问控制。

图14 地理位置访问控制配置框

3.清理浏览器缓存,在浏览器中访问“http://www.example.com”页面。

“北京”地区的源IP访问页面时,WAF将拦截该访问请求,拦截页面示例如图15所示。

图15 WAF拦截攻击请求

4.返回Web应用防火墙管理控制台,在左侧导航树中,单击“防护事件”,进入“防护事件”页面,您可以查看该防护事件。

图16 查看防护事件-拦截某一地区IP访问请求