Web 应用防火墙

产品文档

Web 应用防火墙

设置白名单规则

网站接入Web应用防火墙后,所有请求流量将依次经过WAF后返回源站,保证网站安全性。您可以设置白名单,使满足条件的请求忽略指定的检测模块。

前提条件

背景信息

白名单支持添加Method、URI、IP、Cookie、Geo(地理区域)、Header等维度的白名单。一般应用于放行因触发规则被误拦截的特殊业务请求,可以直接放行或者选择不检测对应的模块。

包年包月开通的Web应用防火墙实例,其白名单功能有以下限制。

功能 说明 高级版 企业版 旗舰版
白名单规则 最多支持添加的白名单规则的数量。 20(条) 50(条) 50(条)

操作步骤

  1. 登录Web应用防火墙控制台

  2. 在左侧导航栏,单击网站配置

  3. 网站配置页面定位到要防护的域名,在操作栏单击防护配置

  4. 在防护配置页面,单击访问控制页签,定位到白名单模块,开启状态开关,并点击添加规则

    image

  5. 白名单页面,分别配置Method白名单URI白名单IP白名单Cookie白名单Geo地域级IP白名单Header白名单

    • IP白名单:输入要放行的IP地址,可以输入IPv4(8 16 24 32)和IPv6(64 128)地址及IP段。IP命中匹配值后的请求,可以选择直接放行,或者选择后续执行阶段。配置完成后,单击页面下方的确定

      image

    • Geo 白名单:地域可以选择中国大陆海外地区

      • 选择中国大陆时,可以选择地域匹配值,请求IP所属地区命中地域后,可以选择直接放行,或者选择后续执行阶段。配置完成后,单击页面下方的确定
      • 选择海外地区时,请求IP所属地区命中海外地域后,可以选择直接放行,或者选择后续执行阶段。配置完成后,单击页面下方的确定

      image

  • URI白名单:URI类型支持填写目标URI,匹配类型可以选择完全匹配、前缀匹配、正则匹配。可以选择直接放行,或者选择后续执行阶段。配置完成后,单击页面下方的确定

    image

  • Method白名单:请求方法类型支持选择匹配值:GET、POST、HEAD、PUT、DELETE、PATCH、COPY、OPTIONS、LINK、UNLINK、PURGE、LOCK、UNOCK、PROPFIND、VIEW。请求Method命中方法后,可以选择直接放行,或者选择后续执行阶段。配置完成后,单击页面下方的确定

    image

  • Cookie白名单:添加cookie类型白名单,根据请求Cookie添加匹配规则:

    • key:Cookie的key,可编辑。

    • 匹配类型:可选完全匹配、前缀匹配或正则匹配

      • 匹配值:待匹配字符串

        请求的Cookie命中设置的规则后,可以选择直接放行,或者选择后续执行阶段。配置完成后,单击页面下方的确定

    image

    • Header白名单:添加Header类型白名单,根据请求Header的key添加匹配规则:

      • key:Header的key,可选择下拉框中的key或点击输入编辑。

      • 匹配类型:可选完全匹配、前缀匹配或正则匹配

      • 匹配值:待匹配字符串

        请求的Header命中设置的规则后,可以选择直接放行,或者选择后续执行阶段。配置完成后,单击页面下方的确定

      image

    勾选放行规则

    • 如果请求满足规则,所有模块都不检测,勾选放行。

    • 如果请求满足规则,选择部分模块放行,部分模块检测,则不勾选放行,选择后续执行阶段。WAF中所有模块执行顺序:白名单 -> 黑名单 -> CC安全防护 -> BOT管理 -> 业务风控 -> Web防护 -> 限速

    成功添加白名单规则后,规则默认不开启。您可以在规则列表中看到新建的规则,且其防护状态开关未开启。

更新时间:2021-01-26 12:53:45