DDoS高防支持对已接入防护的网站业务设置针对域名的黑白名单。开启黑白名单(针对域名),则黑名单IP/IP段对域名的访问请求会被直接阻断,白名单IP/IP段对域名的访问请求会被直接放行,且不经过任何防护策略过滤。本文介绍了设置针对域名的黑白名单的方法。

前提条件

已在DDoS高防域名接入中配置要防护的网站业务。更多信息,请参见添加网站

背景信息

注意 DDoS高防控制台在顶部导航栏新增地域切换菜单,方便您切换选择DDoS高防(新BGP)、DDoS高防(国际)服务。地域切换菜单支持中国大陆非中国大陆选项,您可以通过切换地域分别管理和配置DDoS高防(新BGP)和DDoS高防(国际)实例。在使用DDoS高防服务时,请确认您已选择正确的地域。

网站业务接入DDoS高防后,若存在对网站业务访问量较大的恶意IP,您可以将这些IP添加至针对域名的黑名单,拦截其访问请求。对于企业内部办公网的IP段、业务接口调用IP或其它已确认正常的IP,您可以将这些IP添加至针对域名的白名单予以放行,来自白名单IP的访问请求不会被拦截。

注意事项
  • 针对域名的黑白名单仅支持防护网站业务。对于非网站业务若有类似需求,建议您设置基础设施DDoS防护策略下的黑白名单。更多信息,请参见设置黑白名单(针对目的IP)
    说明 目前仅DDoS高防(新BGP)服务支持黑白名单(针对目的IP)功能。
  • 黑白名单(针对域名)的设置仅对单个域名生效,而不是对整个DDoS高防实例。
  • 针对单个域名,您最多可以分别配置200个黑名单、白名单IP或IP段。

操作步骤

  1. 登录DDoS高防控制台
  2. 在顶部导航栏,选择服务所在地域:
    • 中国大陆:DDoS高防(新BGP)服务
    • 非中国大陆:DDoS高防(国际)服务
  3. 在左侧导航栏,单击防护设置 > 通用防护策略
  4. 通用防护策略页面,单击网站业务DDoS防护页签,并从左侧域名列表中选择要设置的域名。
  5. 定位到黑白名单(针对域名)配置区域,单击设置选择域名
  6. 黑白名单设置对话框,分别设置黑名单和白名单,并单击确定
    • 选择黑名单页签,填写需要拦截其访问请求的恶意IP或IP段。
    • 选择白名单页签,填写需要放行其访问请求的正常IP或IP段。
    说明
    • IP或IP段支持以IP或IP/掩码的格式填写。
    • 黑名单或白名单下最多均支持添加200个IP或IP段,多个IP或IP段之间用英文逗号(,)分隔。
    • 黑名单支持添加0.0.0.0/0,表示拦截来自除白名单中配置的正常IP外所有IP的访问请求。
    黑白名单设置
  7. 回到黑白名单(针对域名)配置区域,开启状态开关,使黑白名单设置生效。
    说明 若您使用旧版本防护设置,则必须开启CC安全防护功能,才能使黑白名单设置生效。

执行结果

成功开启针对域名的黑白名单后,黑白名单设置将应用到所有与域名关联的DDoS高防实例,并针对域名的访问流量即刻生效。
说明 在部分情况下,可能需要经过一些访问流量和时间后,黑白名单(针对域名)设置才会真正生效。如果黑白名单(针对域名)开启后,设置未立即生效,请尝试继续访问域名数次。