白名单规则优先级高于黑名单规则。

配置黑白名单规则时，WAF支持单个添加或通过引用地址组批量导入黑白名单IP地址/IP地址段。

前提条件

已添加防护网站。

约束条件

• WAF支持批量导入黑白名单，如果您需要配置多个IP/IP地址段规则，请添加地址组，详细操作请参见添加黑白名单IP地址组。
• 添加或修改防护规则后，规则生效需要等待几分钟。规则生效后，您可以在“防护事件”页面查看防护效果。
• WAF黑白名单规则不支持配置0.0.0.0/0 IP地址段，且白名单规则优先级高于黑名单规则。如果您需要放行某个网段指定的IP并拦截某个网段其他所有IP，请先添加黑名单规则，拦截该网段的所有IP，然后添加白名单规则，放行指定IP。
• 当黑白名单规则的“防护动作”设置为“拦截”时，您可以配置攻击惩罚标准封禁访问者指定时长，但攻击惩罚的“拦截类型”不支持选择“长时间IP拦截”和“短时间IP拦截”。配置攻击惩罚后，如果访问者的Cookie或Params恶意请求被拦截时，WAF将根据攻击惩罚设置的拦截时长来封禁访问者。

系统影响

将IP或IP地址段配置为黑名单/白名单后，来自该IP或IP地址段的访问，WAF将不会做任何检测，直接拦截/放行。

操作步骤

步骤1 登录管理控制台。

步骤2 单击管理控制台右上角的，选择区域或项目。

步骤3 单击页面左上方的，选择“安全 > Web应用防火墙（独享版）”。

步骤4 在左侧导航树中，选择“防护策略”，进入“防护策略”页面。

步骤5 单击目标策略名称，进入目标策略的防护配置页面。

步骤6 在“黑白名单设置”配置框中，用户可根据自己的需要更改“状态”，单击“自定义黑白名单设置规则”，进入黑白名单设置规则页面。

步骤7 在“黑白名单”设置规则页面左上角，单击“添加规则”。

步骤8 在弹出的对话框中，添加黑白名单规则。

                    
说明
                    
将IP配置为仅记录后，来自该IP的访问，WAF将根据防护规则进行检测并记录该IP的防护事件数据。
其他的IP将根据配置的WAF防护规则进行检测。
                    
                  
                  

添加黑白名单规则

黑白名单参数说明：

参数
参数说明
取值样例
规则名称
用户自定义黑白名单规则的名字。
waftest
IP/IP段或地址组
支持添加黑白名单规则的方式，“IP/IP段”或“地址组”。
IP/IP段
IP地址或IP地址段
当“IP/IP段或地址组” 选择“IP/IP段”时需要设置该参数。
支持IPv4和IPv6格式的IP地址或IP地址段。
IP地址：添加黑名单或者白名单的IP地址。
IP地址段：IP地址与子网掩码。

IPv4格式：
192.168.2.3
10.1.1.0/24
IPv6格式：
fe80:0000:0000:0000:0000:0000:0000:0000
选择地址组
当“IP/IP段或地址组” 选择“地址组”时需要设置该参数，在下拉列表框中选择已添加的地址组。您也可以单击“添加地址组”创建新的地址组，详细操作请参见添加黑白名单IP地址组。
groupwaf
防护动作
拦截：IP地址或IP地址段设置的是黑名单且需要拦截，则选择“拦截”。
放行：IP地址或IP地址段设置的是白名单，则选择“放行”。
仅记录：需要观察的IP地址或IP地址段，可选择“仅记录”。再根据下载防护事件数据判断该IP地址或IP地址段是黑名单还是白名单。


拦截
攻击惩罚
当“防护动作”设置为“拦截”时，您可以设置攻击惩罚标准。设置攻击惩罚后，当访问者的IP、Cookie或Params恶意请求被拦截时，WAF将根据惩罚标准设置的拦截时长来封禁访问者。
说明
不支持选择“长时间IP拦截”和“短时间IP拦截”。
长时间IP拦截
规则描述
可选参数，设置该规则的备注信息。
-

步骤9 输入完成后，单击“确认添加”，添加的黑白名单展示在黑白名单规则列表中。

• 规则添加成功后，默认的“规则状态”为“已开启”，若您暂时不想使该规则生效，可在目标规则所在行的“操作”列，单击“关闭”。
• 若需要修改添加的黑白名单规则时，可单击待修改的黑白名单IP规则所在行的“修改”，修改黑白名单规则。
• 若需要删除添加的黑白名单规则时，可单击待删除的黑白名单IP规则所在行的“删除”，删除黑白名单规则。

防护效果

假如已添加域名“www.example.com”。可参照以下步骤验证防护效果：

步骤1 清理浏览器缓存，在浏览器中输入防护域名，测试网站域名是否能正常访问。

• 不能正常访问，参照章节：网站接入WAF 。
• 能正常访问，执行步骤2。

步骤2 参照本节中的操作步骤，将您的客户端IP配置为黑名单。

步骤3 清理浏览器缓存，在浏览器中访问“http://www.example.com”页面，正常情况下，WAF会阻断该IP的访问请求，返回拦截页面。

步骤4 返回Web应用防火墙控制界面，在左侧导航树中，单击“防护事件”，进入“防护事件”页面，查看防护域名拦截日志，您也可以下载防护事件数据。

配置示例-放行指定IP

假如防护域名“www.example.com”已接入WAF，您可以参照以下操作步骤验证放行指定IP防护效果。

步骤 1 添加以下2条黑白名单规则，拦截所有来源IP。

拦截1.0.0.0/1 IP地址段

拦截128.0.0.0/1 IP地址段

您也可以通过添加一条精准访问防护规则，拦截所有访问请求，如图所示。有关配置精准访问防护规则的详细介绍，请参见配置精准访问防护规则。

步骤 2 参照下图示例添加黑白名单规则，放行指定IP，例如，XXX.XXX.2.3。

步骤 3 开启黑白名单防护规则。

步骤 4 清理浏览器缓存，在浏览器中访问“http://www.example.com”页面。当访问者的源IP不属于步骤2中设置的放行IP地址时，WAF将拦截该访问请求，拦截页面示例如下图所示。

步骤 5 返回Web应用防火墙管理控制台，在左侧导航树中，单击“防护事件”，进入“防护事件”页面，您可以查看该防护事件。