白名單規則優先級高于黑名單規則。

配置黑白名單規則時，WAF支持單個添加或通過引用地址組批量導入黑白名單IP地址/IP地址段。

前提條件

已添加防護網站。

約束條件

• WAF支持批量導入黑白名單，如果您需要配置多個IP/IP地址段規則，請添加地址組，詳細操作請參見添加黑白名單IP地址組。
• 添加或修改防護規則后，規則生效需要等待幾分鐘。規則生效后，您可以在“防護事件”頁面查看防護效果。
• WAF黑白名單規則不支持配置0.0.0.0/0 IP地址段，且白名單規則優先級高于黑名單規則。如果您需要放行某個網段指定的IP并攔截某個網段其他所有IP，請先添加黑名單規則，攔截該網段的所有IP，然后添加白名單規則，放行指定IP。
• 當黑白名單規則的“防護動作”設置為“攔截”時，您可以配置攻擊懲罰標準封禁訪問者指定時長，但攻擊懲罰的“攔截類型”不支持選擇“長時間IP攔截”和“短時間IP攔截”。配置攻擊懲罰后，如果訪問者的Cookie或Params惡意請求被攔截時，WAF將根據攻擊懲罰設置的攔截時長來封禁訪問者。

系統影響

將IP或IP地址段配置為黑名單/白名單后，來自該IP或IP地址段的訪問，WAF將不會做任何檢測，直接攔截/放行。

操作步驟

步驟1 登錄管理控制臺。

步驟2 單擊管理控制臺右上角的，選擇區域或項目。

步驟3 單擊頁面左上方的，選擇“安全 > Web應用防火墻（獨享版）”。

步驟4 在左側導航樹中，選擇“防護策略”，進入“防護策略”頁面。

步驟5 單擊目標策略名稱，進入目標策略的防護配置頁面。

步驟6 在“黑白名單設置”配置框中，用戶可根據自己的需要更改“狀態”，單擊“自定義黑白名單設置規則”，進入黑白名單設置規則頁面。

步驟7 在“黑白名單”設置規則頁面左上角，單擊“添加規則”。

步驟8 在彈出的對話框中，添加黑白名單規則。

                    
說明
                    
將IP配置為僅記錄后，來自該IP的訪問，WAF將根據防護規則進行檢測并記錄該IP的防護事件數據。
其他的IP將根據配置的WAF防護規則進行檢測。
                    
                  
                  

添加黑白名單規則

黑白名單參數說明：

參數
參數說明
取值樣例
規則名稱
用戶自定義黑白名單規則的名字。
waftest
IP/IP段或地址組
支持添加黑白名單規則的方式，“IP/IP段”或“地址組”。
IP/IP段
IP地址或IP地址段
當“IP/IP段或地址組” 選擇“IP/IP段”時需要設置該參數。
支持IPv4和IPv6格式的IP地址或IP地址段。
IP地址：添加黑名單或者白名單的IP地址。
IP地址段：IP地址與子網掩碼。

IPv4格式：
192.168.2.3
10.1.1.0/24
IPv6格式：
fe80:0000:0000:0000:0000:0000:0000:0000
選擇地址組
當“IP/IP段或地址組” 選擇“地址組”時需要設置該參數，在下拉列表框中選擇已添加的地址組。您也可以單擊“添加地址組”創建新的地址組，詳細操作請參見添加黑白名單IP地址組。
groupwaf
防護動作
攔截：IP地址或IP地址段設置的是黑名單且需要攔截，則選擇“攔截”。
放行：IP地址或IP地址段設置的是白名單，則選擇“放行”。
僅記錄：需要觀察的IP地址或IP地址段，可選擇“僅記錄”。再根據下載防護事件數據判斷該IP地址或IP地址段是黑名單還是白名單。


攔截
攻擊懲罰
當“防護動作”設置為“攔截”時，您可以設置攻擊懲罰標準。設置攻擊懲罰后，當訪問者的IP、Cookie或Params惡意請求被攔截時，WAF將根據懲罰標準設置的攔截時長來封禁訪問者。
說明
不支持選擇“長時間IP攔截”和“短時間IP攔截”。
長時間IP攔截
規則描述
可選參數，設置該規則的備注信息。
-

步驟9 輸入完成后，單擊“確認添加”，添加的黑白名單展示在黑白名單規則列表中。

• 規則添加成功后，默認的“規則狀態”為“已開啟”，若您暫時不想使該規則生效，可在目標規則所在行的“操作”列，單擊“關閉”。
• 若需要修改添加的黑白名單規則時，可單擊待修改的黑白名單IP規則所在行的“修改”，修改黑白名單規則。
• 若需要刪除添加的黑白名單規則時，可單擊待刪除的黑白名單IP規則所在行的“刪除”，刪除黑白名單規則。

防護效果

假如已添加域名“www.example.com”。可參照以下步驟驗證防護效果：

步驟1 清理瀏覽器緩存，在瀏覽器中輸入防護域名，測試網站域名是否能正常訪問。

• 不能正常訪問，參照章節：網站接入WAF 。
• 能正常訪問，執行步驟2。

步驟2 參照本節中的操作步驟，將您的客戶端IP配置為黑名單。

步驟3 清理瀏覽器緩存，在瀏覽器中訪問“//www.example.com”頁面，正常情況下，WAF會阻斷該IP的訪問請求，返回攔截頁面。

步驟4 返回Web應用防火墻控制界面，在左側導航樹中，單擊“防護事件”，進入“防護事件”頁面，查看防護域名攔截日志，您也可以下載防護事件數據。

配置示例-放行指定IP

假如防護域名“www.example.com”已接入WAF，您可以參照以下操作步驟驗證放行指定IP防護效果。

步驟 1 添加以下2條黑白名單規則，攔截所有來源IP。

攔截1.0.0.0/1 IP地址段

攔截128.0.0.0/1 IP地址段

您也可以通過添加一條精準訪問防護規則，攔截所有訪問請求，如圖所示。有關配置精準訪問防護規則的詳細介紹，請參見配置精準訪問防護規則。

步驟 2 參照下圖示例添加黑白名單規則，放行指定IP，例如，XXX.XXX.2.3。

步驟 3 開啟黑白名單防護規則。

步驟 4 清理瀏覽器緩存，在瀏覽器中訪問“//www.example.com”頁面。當訪問者的源IP不屬于步驟2中設置的放行IP地址時，WAF將攔截該訪問請求，攔截頁面示例如下圖所示。

步驟 5 返回Web應用防火墻管理控制臺，在左側導航樹中，單擊“防護事件”，進入“防護事件”頁面，您可以查看該防護事件。