WAF白名单策略设置详解

1. 白名单策略概述

Web应用防火墙(WAF)的防护规则通常较为严格，可能导致合法流量被误拦截。白名单策略允许管理员为特定合法流量设置例外规则，使其绕过WAF的安全检测直接转发给服务器。

2. 白名单设置方法

方法1：新建HTTP访问控制策略

2.1 基本设置

名称：任意命名，建议包含"白名单"字样以便识别
描述：详细记录以下信息：
- 针对什么应用的什么功能
- 添加原因
- 添加时间
是否告警：白名单告警通常无分析价值，建议选择"不告警"以避免占用展示平台和存储资源
动作：选择"放过"（符合条件的请求将直接转发给服务器，不做安全检测）

2.2 防护信息设置

主机名(Host)
- 匹配请求中的Host项
- 选择匹配方法：
  - 等于：严格匹配指定Host
  - 其他匹配方式根据需求选择
URI-Path
- 指HTTP请求URI中不包含参数的部分
  - 示例：URI为"/demo/index.php?id=1"，则URI-Path为"/demo/index.php"
- 匹配方式选择：
  - 精确匹配：选择"等于"，填写具体路径
  - 避免使用过于宽泛的正则表达式（如"/demo/.*"），这会导致安全风险
- 重要原则：白名单范围应尽可能小而精确
HTTP方法
- WAF提供多种已知HTTP方法供选择
- 运算逻辑：
  - 选择"属于"时，请求方法匹配任一选项即视为匹配
客户端IP
- 白名单IP设置：
  - 选择"属于" → 填写IP地址或选择IP名单文件
- 批量操作：
  - 可编辑"白名单.txt"文件
  - 勾选"选择已有的IP黑名单文件"（虽然名称是黑名单，但逻辑上可用于白名单）

2.3 应用策略

设置完成后点击"确定"
重要步骤：必须将策略应用到目标站点

方法2：通过告警页面快速添加

在告警页面中找到需要加白的告警记录
拖到最右侧
点击"+"号
选择"添加到例外策略"

3. 最佳实践建议

精确性原则：白名单范围应尽可能精确，避免过度放宽
文档记录：详细记录每条白名单策略的添加原因和应用场景
定期审查：定期检查白名单策略，移除不再需要的例外规则
最小权限：只放行必要的请求，保持安全防护的有效性

4. 注意事项

白名单策略会绕过WAF的安全检测，需谨慎设置
过于宽泛的白名单规则可能带来安全风险
所有变更都应记录在案，便于后续审计和维护

WAF白名单策略设置详解 1. 白名单策略概述 Web应用防火墙(WAF)的防护规则通常较为严格，可能导致合法流量被误拦截。白名单策略允许管理员为特定合法流量设置例外规则，使其绕过WAF的安全检测直接转发给服务器。 2. 白名单设置方法方法1：新建HTTP访问控制策略 2.1 基本设置名称：任意命名，建议包含"白名单"字样以便识别描述：详细记录以下信息：针对什么应用的什么功能添加原因添加时间是否告警：白名单告警通常无分析价值，建议选择"不告警"以避免占用展示平台和存储资源动作：选择"放过"（符合条件的请求将直接转发给服务器，不做安全检测） 2.2 防护信息设置主机名(Host) 匹配请求中的Host项选择匹配方法：等于：严格匹配指定Host 其他匹配方式根据需求选择 URI-Path 指HTTP请求URI中不包含参数的部分示例：URI为"/demo/index.php?id=1"，则URI-Path为"/demo/index.php" 匹配方式选择：精确匹配：选择"等于"，填写具体路径避免使用过于宽泛的正则表达式（如"/demo/.* "），这会导致安全风险重要原则：白名单范围应尽可能小而精确 HTTP方法 WAF提供多种已知HTTP方法供选择运算逻辑：选择"属于"时，请求方法匹配任一选项即视为匹配客户端IP 白名单IP设置：选择"属于" → 填写IP地址或选择IP名单文件批量操作：可编辑"白名单.txt"文件勾选"选择已有的IP黑名单文件"（虽然名称是黑名单，但逻辑上可用于白名单） 2.3 应用策略设置完成后点击"确定" 重要步骤：必须将策略应用到目标站点方法2：通过告警页面快速添加在告警页面中找到需要加白的告警记录拖到最右侧点击"+"号选择"添加到例外策略" 3. 最佳实践建议精确性原则：白名单范围应尽可能精确，避免过度放宽文档记录：详细记录每条白名单策略的添加原因和应用场景定期审查：定期检查白名单策略，移除不再需要的例外规则最小权限：只放行必要的请求，保持安全防护的有效性 4. 注意事项白名单策略会绕过WAF的安全检测，需谨慎设置过于宽泛的白名单规则可能带来安全风险所有变更都应记录在案，便于后续审计和维护