設置IP黑名單
更新時間 2025-07-18 15:24:00
最近更新時間: 2025-07-18 15:24:00
分享文章
本文將介紹如何通過IP黑名單功能攔截來自指定IP、指定IP段與指定地域的IP地址請求。
功能介紹
通過訪問控制功能,能夠幫助您攔截來自指定IP、指定IP段與指定地域的IP地址請求。
前提條件
- 已開通Web應用防火墻(邊緣云版)
- 已新增域名并成功接入WAF,具體操作請見WAF接入
- 開通基礎版級以上版本支持配置IP、IP段、區域等粒度的訪問控制功能(體驗版支持配置IP粒度的訪問控制)
操作步驟
- 登錄
- 登錄web應用防火墻(邊緣云版)控制臺,在左側導航欄中選擇【域名管理】—【域名列表】,單擊域名列表操作【安全防護】
- 進入【訪問控制】頁面
配置說明
| 配置項 | 說明 |
|---|---|
| 開關 | 訪問控制策略的開關,支持開啟或關閉 |
| 處理動作 | 支持配置處理動作為告警、加白、攻擊標記、攔截、丟棄 告警:請求命中訪問控制策略后,不對其攔截,僅記錄攻擊日志 加白:請求命中訪問控制策略后,將對其進行加白,請求不經過任意Web安全防護策略 攻擊標記:加白對應范圍,但是如果請求觸發規則,會記錄在攻擊日志 攔截:請求命中訪問控制策略后,將對其進行攔截并記錄攻擊日志 丟棄:攔截后不會響應頁面,會減少帶寬 |
| 規則名稱 | 訪問控制策略的規則名稱 |
| 防護范圍 | 支持配置多個防護粒度,多個防護粒度為且關系,滿足所有條件時,才觸發處理動作 粒度選擇:支持選擇IP、IPS、地理位置、URI、PATH等十幾種粒度,不同套餐版本支持選擇不同的粒度,具體可見?套餐和版本說明 關系:包含/不包含 匹配內容:不同的粒度支持輸入不同的匹配內容。一般支持輸入多條,多條內容用英文符號;分隔 |
防護粒度說明
| 粒度 | 說明 | 示例 |
|---|---|---|
| PATH | 即目錄路徑。支持填寫多個,多個PATH用;隔開 | /qr/;/app/verifyCode/ |
| IP | 即客戶端IP。支持填寫多個IP,多個IP間以;隔開 | 170.101.1.1;192.178.1.1 |
| IPS | 即客戶端IP段。支持填寫多個IP段,多個IP段間以;隔開 | 192.168.1.0/24;192.168.2.0/24 |
| IPR | 即客戶端IP范圍。支持填寫多個IP范圍,多個IP范圍間以;隔開 | 192.168.1.1-192.168.1.10;192.168.1.12-192.168.1.20 |
| URI | URI不包括問號后參數。支持填寫多個URI,多個URI間以;隔開,支持正則和字符串匹配 | /login.php |
| REQUEST_URI | URI包括問號后參數。不支持填寫多個REQUEST_URI。支持正則和字符串匹配 | login.php?id=1 |
| METHDO | 即請求方式。支持填寫多個請求方法,多個請求方法間以;隔開 | GET;POST |
| ARGS | 即URI問號后的參數名。支持正則和字符串匹配 | proid |
| GEO | 即客戶端IP區域。支持選擇多個區域 | 歐洲/德國 |
| HEADER | 即請求頭部。支持正則和字符串匹配 | |
| PROTOCOL | 即請求協議。支持填寫多個協議,多個協議用;隔開。支持正則和字符串匹配 | HTTP/1.0;HTTP/2.0;HTTP/0.9 |
| SRC_PORT | 即端口。支持填寫多個端口,多個端口以;隔開 | 54375;8080 |
| DEST_IP | 即目標服務器IP。支持填寫IPv4/IPv6,多個IP以;隔開 | 170.101.1.1;192.178.1.1 |
| DEST_PORT | 即目標服務器端口。支持填寫多個端口,多個端口以;隔開 | 54375;8080 |
| 響應頭 | 響應頭。支持正則和字符串匹配 | |
| 狀態碼 | 狀態碼。支持選擇2xx~5xx所有狀態碼,支持選擇多個 | 200;404;500 |
| JA3指紋 | 計算請求唯一的JA3指紋。請注意,該粒度需要您先開啟【接入配置】-【JA3指紋記錄】功能,之后才能進行此配置 | 66918128f1b9b03303d77c6f2eefd128 |
配置場景
將從指定IP黑名單、指定IP段黑名單、指定區域請求黑名單向您介紹如何配置訪問控制策略。
配置指定IP黑名單
配置示例:攔截來自IP 1.2.3.4的訪問請求
在【訪問控制】中新增規則:
- 開關:開
- 處理動作:攔截
- 規則名稱:攔截來自1.2.3.4 IP的訪問請求
- 防護范圍:IP包含1.2.3.4
配置指定IP段黑名單
配置示例:攔截來自IP段1.2.3.4/24的訪問請求
在【訪問控制】中新增規則:
- 開關:開
- 處理動作:攔截
- 規則名稱:攔截來自1.2.3.4/24 IP段的訪問請求
- 防護范圍:IPS包含1.2.3.4/24
配置指定區域請求黑名單
配置示例:攔截來自海外的訪問請求
在【訪問控制】中新增規則:
- 開關:開
- 處理動作:攔截
- 規則名稱:攔截來自海外的所有請求
- 防護范圍:地理位置包含中國以外的所有區域。地理位置選擇組件支持從大洲細化至省市粒度。
相關操作
- 希望設置網站白名單,請見設置網站白名單
