地理位置访问控制规则，针对指定国家、地区的来源IP自定义访问控制

● Web应用防火墙WAF已添加防护网站。

○ 云模式的接入方式参见网站接入WAF（云模式）章节。

○ 独享模式的接入方式参见网站接入WAF（独享模式）章节。

● Web应用防火墙入门版不支持该功能。

● 同一个地区只能配置到一条地理位置访问控制规则中。例如，如果某个地理位置访问控制规则已设置了“上海”地区，那么“上海”地区不能再添加到其他地理位置访问控制规则。

● 添加或修改防护规则后，规则生效需要几分钟。规则生效后，您可以在“防护事件”页面查看防护效果。

1.登录华为云管理控制台。

2.单击管理控制台左上角的，选择区域或项目。

3.选择“安全与合规 > Web应用防火墙 WAF”。

4.在左侧导航树中，选择“网站设置”，进入“网站设置”页面。

5.（旧版）在目标域名所在行的“防护策略”栏中，单击“配置防护策略”，进入“防护策略”页面。

6.（新版）在目标域名所在行的“防护策略”栏中，单击“已开启N项防护”，进入“防护策略”页面。

图1 域名列表

7.在“地理位置访问控制”配置框中，用户可根据自己的需要更改“状态”，单击“自定义地理位置访问控制规则”，进入“地理位置访问控制”页面。

图2 地理位置访问控制配置框

8.在“地理位置访问控制”页面左上角，单击“添加规则”。

9.在弹出的对话框中，添加地理位置访问控制规则，如图3或图4所示，根据表1或表2配置参数。

图3 添加地理位置访问控制规则（新版）

须知：目前仅以下区域支持新版地理位置访问控制规则：华北-北京一、华北-北京四、华东-上海一华、东-上海二、西南-贵阳一、华南-广州、中国-香港、亚太-曼谷

图4 添加地理位置访问控制规则

表1 添加地理位置访问控制规则参数说明（新版）

表2 添加地理位置访问控制规则参数说明

10.单击“确认添加”，添加的地理位置访问控制规则展示在地理位置访问控制规则列表中。

图5 地理位置规则列表（新版）

图6 地理位置规则列表

● 规则添加成功后，默认的“规则状态”为“已开启”，若您暂时不想使该规则生效，可在目标规则所在行的“操作”列，单击“关闭”。

● 若需要修改添加的地理位置访问控制规则时，可单击待修改的地理位置访问控制规则所在行的“修改”，修改地理位置访问控制规则。

● 若需要删除添加的地理位置访问控制规则时，可单击待删除的地理位置访问控制规则所在行的“删除”，删除地理位置访问控制规则。

假如防护域名“www.example.com”已接入WAF，当您只允许某一地区的IP可以访问防护域名，例如，只允许来源“上海”地区的IP可以访问防护域名，请参照以下步骤处理。

1.添加一条地理位置访问控制规则，添加“上海”地区的“放行”防护动作。

图7 添加“放行”防护动作（新版）

须知：目前仅以下区域支持新版地理位置访问控制规则：华北-北京一、华北-北京四、华东-上海一、华东-上海二、西南-贵阳一、华南-广州、中国-香港、亚太-曼谷

图8 添加“放行”防护动作

2.开启地理位置访问控制。

图9 地理位置访问控制配置框

3.配置一条精准访问防护规则，拦截所有的请求。

图10 拦截所有访问请求

有关配置精准访问防护规则的详细介绍，请参见配置精准访问防护规则。

4.清理浏览器缓存，在浏览器中访问“http://www.example.com”页面。

当非“上海”地区的源IP访问页面时，WAF将拦截该访问请求，拦截页面示例如图11所示。

图11 WAF拦截攻击请求

5.返回Web应用防火墙管理控制台，在左侧导航树中，单击“防护事件”，进入“防护事件”页面，您可以查看到非“上海”地区的源IP都被拦截。

假如防护域名“www.example.com”已接入WAF，您需要拦截所有来源“北京”地区的IP访问防护域名，可以参照以下操作步骤验证防护效果。

1.添加一条地理位置访问控制规则，设置“北京”地区“拦截”动作。

图12 拦截某一地区访问请求（新版）

须知：目前仅以下区域支持新版地理位置访问控制规则：华北-北京一、华北-北京四、华东-上海一、华东-上海二、西南-贵阳一、华南-广州、中国-香港、亚太-曼谷

图13 拦截某一地区访问请求

2.开启地理位置访问控制。

图14 地理位置访问控制配置框

3.清理浏览器缓存，在浏览器中访问“http://www.example.com”页面。

当“北京”地区的源IP访问页面时，WAF将拦截该访问请求，拦截页面示例如图15所示。

图15 WAF拦截攻击请求

4.返回Web应用防火墙管理控制台，在左侧导航树中，单击“防护事件”，进入“防护事件”页面，您可以查看该防护事件。

图16 查看防护事件-拦截某一地区IP访问请求