黑白名单最佳实践

一、功能描述

黑白名单功能可对特定的网址或IP进行访问控制设置,提高安全性,减少误报率,分为网址黑白名单,IPv4黑白名单,IPv6黑白名单,可按需设置。

二、功能配置

配置入口:https://defense.yunaq.com/site/general_setting/

相关说明:【黑白名单功能说明】、【黑白名单拦截说明】。

三、最佳实践

1.功能使用推荐:

    • 单位/公司统一出口IP如固定可信,推荐直接添加到IP白名单中。
    • 添加网址白名单后所有Web入侵防护策略对匹配该关键词的请求均不拦截,如需设置建议尽量设置精准。
    • URL黑名单与IP白名单混合使用即为“隐形后台锁”,将后台地址添加到URL黑名单中,内部可信IP添加到IP白名单中,则可实现仅IP白名单中的IP可访问URL黑名单中的地址。
    • IP地址添加至IP白名单后,该IP所有的请求都会放行,需谨慎添加。

2.示例:

场景一:业务系统中个别网址不允许外网访问。

此场景下,可以将不允许外网访问的网址关键词添加至网址黑名单中。如业务系统中含有“/database/”关键词的网址为禁止外网访问地址,则可将关键词“/database/”加入网址黑名单,设置后匹配“/database/”关键词的网址都不能进行访问,如访问网址“http://www.xx.com/database/xxx.asp”会被拦截。

场景二:业务系统发现某IP经常发起攻击,希望禁止该IP所有访问。

此场景下可以将IP地址直接添加至IP黑名单,设置后,该IP访问业务系统均会被拦截,如不允许IP地址为1.1.1.1 的用户访问可参考下述配置。

场景三:业务系统中存在后台地址,只允许公司的出口IP访问。

此场景下可将后台URL地址添加至网址黑名单,将公司的出口IP添加至IP白名单。如业务系统“http://www.xx.com/admin_log”只允许IP地址2.2.2.2访问,其它IP都不允许访问可参考下述配置。