访问管控策略是指对符合设定规则的特定 IP 的访问行为进行或来自特定地区的所有 IP 访问行为进行管控限制。您还可以自定义拦截响应信息,为满足特定条件的请求(CC 拦截除外)返回自定义的响应码和页面信息。
约束及限制
- 黑白名单访问规则关联的地址组被删除之后,该规则如无其他有效关联地址组,则该规则将被同步删除。
- 自定义拦截响应不适用于 CC 拦截。
前提条件
您已将需要防护的网站接入 WAF 实例。
配置访问白名单
将特定 IP 添加到网络访问白名单中,该 IP 下的相关访问行为将不受所有检测拦截规则的影响,直接被放行。
登录Web应用防火墙控制台。
在顶部菜单栏选择实例所属地域。
在左侧导航选择防护策略>访问管控。
开启待防护域名的白名单访问功能。
- 在页面上方选择需要添加访问白名单策略的域名。
- 单击访问白名单。
- 开启策略启用开关。

单击添加白名单,配置白名单规则参数。
参数 | 说明 |
---|
规则名称 | 防护规则名称。支持英文、汉字和数字,不支持特殊字符,最多不超过 25 个字符。 |
备注 | 填写白名单规则相关备注信息,例如放行的原因。 |
IP 地址 | - 手动添加:手动输入需要加为白名单的 IP 地址,支持输入单个 IP 地址、IP 地址段或全部 IP 地址(*)。
- 引用地址组:选择关联已经创建的地址组,支持关联多个地址组。
|
请求路径 | 填写需要放行 IP 地址的网站路径,可以是具体的某个页面 URL,也可以针对整个网站。 - 某个具体的 URL 地址,例如需要放行
test.com/test.html ,则填写 /test.html 。 - 针对整个网站,则填写
/ 即可。
|
规则开关 | 开启或关闭当前规则。 |
高级条件 | - 条件关系:指添加的多条高级条件关系,当前支持 AND 和 OR。
- 匹配字段:选择匹配字段,目前支持请求协议、请求 uri、请求方法、请求路径、请求参数、请求头等字段。
- 逻辑符:选择逻辑符,目前支持大于、大于等于、等于、小于、小于等于、不等于等逻辑关系。
- 匹配内容:填写该条规则需要匹配的具体内容。
- 操作:支持删除单条高级条件规则。
|
单击确定,完成规则配置。
配置完成后,可在访问白名单列表查看规则信息,并进行规则关闭/开启、编辑和删除操作。
配置访问黑名单
将特定 IP 添加到网络访问黑名单中,该 IP 下的相关访问行为将会被直接拦截。
登录Web应用防火墙控制台。
在顶部菜单栏选择实例所属地域。
在左侧导航选择防护策略>访问管控。
开启待防护域名的黑名单访问功能。
- 在页面上方选择需要添加访问黑名单策略的域名。
- 单击访问黑名单。
- 开启策略启用开关。

单击添加黑名单,配置白名单规则参数。
参数 | 说明 |
---|
规则名称 | 防护规则名称。支持英文、汉字和数字,不支持特殊字符,最多不超过 25 个字符。 |
备注 | 填写黑名单规则相关备注信息,例如添加的原因。 |
IP 地址 | - 手动添加:手动输入需要加为黑名单的 IP 地址,支持输入单个 IP 地址、IP 地址段或全部 IP 地址(*)。
- 引用地址组:选择关联已经创建的地址组,支持关联多个地址组。
|
请求路径 | 填写需要加入黑名单的 IP 地址的网站路径,可以是具体的某个页面 URL,也可以针对整个网站。 - 某个具体的 URL 地址,例如需要放行
test.com/test.html ,则填写 /test.html 。 - 针对整个网站,则填写
/ 即可。
|
执行动作 | - 观察:仅上报请求信息,可在攻击日志中查看已上报记录。
- 拦截:拦截对应请求,可在攻击日志中查看已拦截记录。
|
规则开关 | 开启或关闭当前规则。 |
高级条件 | - 条件关系:指添加的多条高级条件关系,当前支持 AND 和 OR。
- 匹配字段:选择匹配字段,目前支持请求协议、请求 uri、请求方法、请求路径、请求参数、请求头等字段。
- 逻辑符:选择逻辑符,目前支持大于、大于等于、等于、小于、小于等于、不等于等逻辑关系。
- 匹配内容:填写该条规则需要匹配的具体内容。
- 操作:支持删除单条高级条件规则。
|
单击确定,完成规则配置。
配置完成后,可在访问黑名单列表查看规则信息,并进行规则关闭/开启、编辑和删除操作。
地理位置访问控制
针对来源 IP 的归属地,按国家或地区设定网络访问控制规则。
- 登录Web应用防火墙控制台。
- 在顶部菜单栏选择实例所属地域。
- 在左侧导航选择防护策略>访问管控。
- 开启待防护域名的黑名单访问功能。
- 在页面上方选择需要添加地理位置访问控制策略的域名。
- 单击地理位置访问控制。
- 开启策略启用开关。

- 设置策略模式。
- 观察:放行请求,并上报请求信息至攻击日志。
- 拦截:拦截请求,并上报请求信息至攻击日志。
- 单击添加地区, 勾选需要封禁的地区或国家。
- 单击确定,完成封禁地区配置。
配置完成后,可在地理位置访问控制封禁列表查看封禁地区信息,或删除不再需要封禁的地区。
自定义拦截响应信息
当满足条件的请求被 WAF 拦截(CC 拦截除外)时返回,返回自定义的响应码和响应页面。
登录Web应用防火墙控制台。
在顶部菜单栏选择实例所属地域。
在左侧导航选择防护策略>访问管控。
开启待防护域名的自定义拦截响应功能。
- 在页面上方选择需要配置自定义拦截响应的域名。
- 单击自定义拦截响应。
- 开启策略启用开关。

单击添加规则,配置自定义拦截响应参数。
参数 | 说明 |
---|
规则名称 | 防护规则名称。支持英文、汉字和数字,不支持特殊字符,最多不超过 20 个字符。 |
规则描述 | 填写黑名单规则相关备注信息,例如添加的原因。 |
请求路径 | 填写需要返回自定义拦截响应的网站路径,可以是具体的某个页面 URL,也可以针对整个网站。 - 某个具体的 URL 地址,例如需要放行
test.com/test.html ,则填写 /test.html 。 - 针对整个网站,则填写
/ 即可。
|
规则开关 | 开启或关闭当前规则。 |
响应码 | 设置请求被拦截时返回的响应码。 |
页面模板 | - 系统默认:选择系统默认模板,支持
text/html 、text/xml 、application/json 三种页面类型。 - 自定义:填写自定义的页面模板,支持
text/html 、text/xml 、application/json 三种页面类型,并自定义页面内容。 - 重定向:填写重定向 path,如
/common/info/redirect 。
|
高级条件 | - 条件关系:指添加的多条高级条件关系,当前支持 AND 和 OR。
- 匹配字段:选择匹配字段,目前支持请求协议、请求 uri、请求方法、请求路径、请求参数、请求头等字段。
- 逻辑符:选择逻辑符,目前支持大于、大于等于、等于、小于、小于等于、不等于等逻辑关系。
- 匹配内容:填写该条规则需要匹配的具体内容。
- 操作:支持删除单条高级条件规则。
|
单击确定,完成规则配置。
配置完成后,可在自定义拦截响应列表查看规则信息,并进行规则关闭/开启、编辑和删除操作。