文档中心

Web应用防火墙WAF用户指南（下）

最近更新时间：

9 访问控制

9.1 访问控制概述

访问控制主要针对网络层的访问控制，通过配置面向对象的通用包过滤规则实现控制 Web 以外的访问行为。

本章主要描述访问控制的常用操作和方法。

9.2 IP对象

IP 对象主要是定义包过滤规则里的源和目的 IP。IP 对象包含 IP 网段、IP 地址段和 IP 组。IP 组可以包含多个 IP 网段/IP 地址段。选择“访问控制 > IP 对象”，进入 IP 对象编辑页面，可以对 IP 网段、IP 地址段和 IP 组进行增加、编辑、删除等操作。

9.2.1 IP 网段配置

(1) 选择“访问控制 > IP 对象 > IP 网段”，进入 IP 网段管理页面。

(2) 单击“增加”，弹出增加 IP 网段对象界面。

(3) 编辑 IP 网段参数。

(4) 单击“保存”保存配置。

9.2.2 IP 地址段配置

(1) 选择“访问控制 > IP 对象 > IP 地址段”，进入 IP 地址段管理页面。

(2) 单击“增加”，弹出增加 IP 地址段对象界面。

(3) 编辑 IP 地址段参数。

(4) 单击“保存”保存配置。

9.2.3 IP 组配置

(1) 选择“访问控制 > IP 对象 > IP 组”，进入 IP 组管理页面。

(2) 单击“增加”，弹出增加 IP 组界面。

(3) 设置 IP 组名称和 IP 对象。

提示：增加 IP 组时可以添加多个 IP 网段或 IP 地址段。

(4) 单击“保存”保存配置。

9.3 服务对象

服务对象主要是定义包过滤规则里的协议部分，包括 ICMP,TCP,UDP 和端口号/范围。服务组对象可以包含多个普通服务对象。选择“访问控制 > 服务对象”进入服务对象编辑界面，可以对服务、服务组进行增加、编辑、删除等操作。

9.3.1 管理服务对象

(1) 选择“访问控制 > 服务对象 > 服务”，进入服务管理界面。

(2) 单击“增加”，弹出增加服务对象界面。

(3) 编辑服务参数。

(4) 单击“保存”保存配置

9.3.2 管理服务组

(1) 选择“访问控制 > 服务对象 > 服务组”，进入服务组管理界面。

(2) 单击“增加”，弹出增加服务组界面。

(3) 编辑服务组名称，选择所包含的服务对象。

(4) 单击“保存”保存配置。

9.4 时间对象

时间对象主要是定义包过滤规则的生效时间段，默认是一直生效的。但是可以通过配置时间对象来定义规则在一周内和一天内的生效时间段。

(1) 选择“访问控制 > 时间对象”，进入时间对象管理界面。

(2) 单击“增加”，弹出增加时间对象界面。

(3) 编辑时间对象参数。

(4) 单击“保存”保存配置。

注意：如果时间对象被包过滤规则使用，则无法删除。

9.5 包过滤规则

包过滤规则使用定义的 IP 对象/组，服务/组，时间对象来定义具体的规则进行访问控制。

(1) 选择“访问控制 > 包过滤规则”，进入包过滤规则管理界面。

(2) 单击“增加”，弹出增加包过滤规则界面。

(3) 设置包过滤规则参数。包过滤规则的配置参数说明见下表。

(4) 单击“保存”保存配置。

9.6 地址转换

SNAT 是指在数据包从网卡发送出去的时候，把数据包中的源地址部分替换为指定的 IP，这样接收方就认为数据包的来源是被替换的那个 IP 的主机DNAT，就是指数据包从网卡发送出去的时候，修改数据包中的目的 IP，表现为如果想访问 A，可是因为网关做了 DNAT，把所有访问 A 的数据包的目的 IP 全部修改为 B，那么，实际上访问的是B。

在地址转换中可以实现 DNAT 和 SNAT 的功能。

(1) 选择“访问控制 > 地址转换”，进入地址转换管理页面。

(2) 单击“增加”，弹出增加地址转换界面。

(3) 编辑地址转换参数。地址转换的配置参数说明见下表。

(4) 单击“保存”保存配置。

9.7 黑名单

9.7.1 配置静态黑名单

(1) 选择菜单“访问控制 > 黑名单 > 黑名单”，进入静态黑名单管理界面。

(2) 单击“增加”，弹出黑名单配置界面。

(3) 配置黑名单参数，详细参数说明见下表。

(4) 单击“保存”保存配置。

说明：配置了黑名单后，该黑名单 IP 将不能访问服务器。

9.7.2 导入静态黑名单

(1) 选择菜单“访问控制 > 黑名单 > 黑名单”，进入静态黑名单管理界面。

(2) 单击“导入”，在弹出的导入对话框中选择本地文件。

(3) 单击“下载”下载黑名单模板，模板格式为 Excel。

(4) 在导入对话框中单击“导入”导入黑名单。

9.7.3 动态黑名单

选择“访问控制 > 黑名单 > 动态黑名单”进入动态黑名单界面，可以删除动态黑名单，解除封禁。

9.8 白名单

9.8.1 配置白名单

(1) 选择菜单“访问控制 > 白名单”，进入白名单管理界面。

(2) 单击“增加”，弹出白名单配置界面。

(3) 配置白名单参数，详细参数说明见下表。

(4) 单击“保存”保存配置。

9.8.2 导入白名单

(1) 选择菜单“访问控制 > 白名单”，进入白名单管理界面。

(2) 单击“导入”，在弹出的导入对话框中选择本地文件。

(3) 单击“下载”下载黑名单模板，模板格式为 Excel。

(4) 在导入对话框中单击“导入”，导入白名单。

9.9 URL黑名单

(1) 选择菜单“访问控制 > URL 黑名单”，进入 URL 黑名单管理界面。

(2) 单击“增加”，弹出增加 URL 黑名单界面。

(3) 配置 URL 黑名单参数，详细参数说明如下。

(4) 单击“保存”保存配置。

9.10 URL白名单

(1) 选择菜单“访问控制 > URL 白名单”，进入 URL 白名单管理界面。

(2) 单击“增加”，弹出增加 URL 白名单界面。

(3) 配置 URL 白名单参数，详细参数说明如下。

(4) 单击“保存”保存配置

意见反馈

文档内容是否对您有帮助？

如您有其他疑问，您也可以通过在线客服来与我们联系探讨在线客服

中国电子云

售前专家免费咨询

根据您填写的需求，将有售前专家为您提供免费服务！

咨询我们

7*24小时服务

1V1专家服务

全栈安全

咨询热线

400-080-1100

联系邮箱

cecloud-support@cestc.cn

在线客服

热门推荐: 专属云; 存储; 安全; PaaS; 超融合

热门解决方案: 政务云解决方案; 金融灾备云解决方案; 乡村振兴解决方案; K12智能云解决方案; 人社大数据建设方案

精选客户案例: 西咸新区智慧城市共性平台; 泸州白酒产业大数据平台; 新疆银行同城灾备云; 盐南城市驾驶舱项目; 中国南方电网云南调度云平台

关于中国电子云: 中国电子云简介; 资质与荣誉; 新闻中心

快速入口: 合作伙伴; 客户支持; 增值服务; 适配认证; 培训认证

关注或联系我们

友情链接：桑达股份中国系统

中电云计算技术有限公司 2022 保留一切权利鄂B2-20220088-1 鄂公网安备 42011402000611号法律声明及隐私权政策

联系我们

回到顶部

为您提供专业的咨询服务，快速解决您的问题

cecloud-support@cestc.cn