网络安全 | F5 WAF 黑白名单设置实践指南

发表于 2025-9-21 21:16:01

马上注册，结交更多好友，享用更多功能，让你轻松玩转社区。

您需要登录才可以下载或查看，没有账号？立即注册

×

关注：CodingTechWork

弁言

在当代网络安全架构中，F5 Web Application Firewall (WAF) 是保护 Web 应用免受攻击的告急工具。F5 WAF 提供了强盛的黑白名单功能，连合 Data Group 和 iRules，可以实现更机动、更高效的流量控制战略。本文将详细先容如何使用 F5 官方功能，连合 Data Group 和 iRules 设置黑白名单。
F5 WAF 黑白名单功能概述

F5 WAF 的黑白名单功能答应管理员根据 IP 所在、URL 或其他条件对流量举行分类和控制。通过将特定的 IP 所在或子网添加到白名单中，可以确保这些流量不会被误拦截；而将已知的恶意 IP 所在添加到黑名单中，则可以有用克制这些流量。
Data Group 的创建与管理

Data Group 是 F5 提供的一种数据管理工具，用于存储一组相关的数据元素（如 IP 所在、字符串等）。通过 Data Group，可以方便地在 iRules 中引用这些数据，从而简化规则的编写。
iRules 的编写与应用

iRules 是 F5 提供的一种基于 TCL 语言的脚本工具，用于自界说流量处理处罚逻辑。通过 iRules，可以实现复杂的流量控制战略。
白名单设置

创建 Data Group

登录 F5 BIG-IP 装备：使用管理员账户登录到 F5 BIG-IP 装备的管理界面。
导航到 Data Group：
- 在 Web 界面中，依次点击 Local Traffic > iRules > Data Group Lists。
创建 Data Group：
- 点击 Create 按钮，创建一个新的 Data Group。
- 名称：为 Data Group 设置一个易于辨认的名称，比方 whitelist_ips。
- 类型：选择 address 类型（用于存储 IP 所在）。
- 添加条目：输入必要到场白名单的 IP 所在或子网，比方 192.168.1.0/24。

创建 iRules

登录 F5 BIG-IP 装备：使用管理员账户登录到 F5 BIG-IP 装备的管理界面。
导航到 iRules：
- 在 Web 界面中，依次点击 Local Traffic > iRules。
创建 iRules：
- 点击 Create 按钮，创建一个新的 iRule。
- 名称：为 iRule 设置一个易于辨认的名称，比方 whitelist_rule。
- 内容：编写 iRule 脚本，使用 class match 下令引用 Data Group。

以下是一个简朴的 iRule 示例，用于查抄客户端 IP 是否在白名单中：

when CLIENT_ACCEPTED {
if { [class match [IP::remote_addr] equals whitelist_ips] } {
# 如果 IP 在白名单中，允许访问
pool whitelist_pool
} else {
# 如果 IP 不在白名单中，拒绝访问
drop
}
}

复制代码

应用 iRules 到假造服务器

导航到假造服务器：
- 在 F5 管理界面中，导航到 Local Traffic > Virtual Servers > Virtual Server List。
- 选择必要应用黑名单规则的假造服务器。
添加 iRules：
- 在假造服务器的 Resources > iRules 部门，点击 Manage。
- 在弹出的窗口中，选择刚刚创建的 whitelist_rule，然后点击 Add。

白名单设置流程

创建 Data Group：
- 创建一个名为 whitelist_ips 的 Data Group，类型为 address，并添加必要白名单的 IP 所在或子网。
创建 iRule：
- 编写 iRule 脚本，使用 class match 下令查抄客户端 IP 是否在 whitelist_ips 中。
- 假如客户端 IP 在白名单中，答应访问；否则，拒绝访问。
应用 iRule：
- 将创建的 iRule 应用到相应的假造服务器（Virtual Server）上。

黑名单设置

创建 Data Group

Data Group 是 F5 BIG-IP 中用于存储一组数据（如 IP 所在、字符串等）的工具，可以在 iRules 中方便地引用这些数据。

登录 F5 BIG-IP 装备：
- 使用管理员账户登录到 F5 BIG-IP 装备的管理界面。
创建 Data Group：
- 导航到 Local Traffic > iRules > Data Group Lists。
- 点击 Create 按钮，创建一个新的 Data Group。
- 名称：输入一个易于辨认的名称，比方 blacklist_ips。
- 类型：选择 address 类型（用于存储 IP 所在）。
- 添加条目：输入必要到场黑名单的 IP 所在或子网，比方 192.168.1.0/24。

创建 iRules

登录 F5 BIG-IP 装备：
- 使用管理员账户登录到 F5 BIG-IP 装备的管理界面。
创建 iRules：
- 导航到 Local Traffic > iRules。
- 点击 Create 按钮，创建一个新的 iRule。
- 名称：输入一个易于辨认的名称，比方 blacklist_rule。
- 内容：编写 iRule 脚本，使用 class match 下令引用 Data Group。

以下是一个简朴的 iRule 示例，用于查抄客户端 IP 是否在黑名单中：

when CLIENT_ACCEPTED {
if { [class match [IP::client_addr] equals blacklist_ips] } {
# 如果 IP 在黑名单中，拒绝访问
log local0. "Dropped connection from [IP::client_addr]: IP is blacklisted."
drop
}
}

复制代码

应用 iRules 到假造服务器

导航到假造服务器：
- 在 F5 管理界面中，导航到 Local Traffic > Virtual Servers > Virtual Server List。
- 选择必要应用黑名单规则的假造服务器。
添加 iRules：
- 在假造服务器的 Resources > iRules 部门，点击 Manage。
- 在弹出的窗口中，选择刚刚创建的 blacklist_rule，然后点击 Add。

黑名单设置流程

创建 Data Group：
- 创建一个名为 blacklist_ips 的 Data Group，类型为 address，并添加必要白名单的 IP 所在或子网。
创建 iRule：
- 编写 iRule 脚本，使用 class match 下令查抄客户端 IP 是否在 blacklist_ips 中。
- 假如客户端 IP 在白名单中，答应访问；否则，拒绝访问。
应用 iRule：
- 将创建的 iRule 应用到相应的假造服务器（Virtual Server）上。

留意事项

性能优化：公道设置 Data Group 和 iRules，制止过多的匹配操纵影响性能。
定期更新：根据实际情况定期更新 Data Group 中的 IP 所在，确保黑白名单的有用性。
测试验证：在生产情况中应用新的规则之前，发起在测试情况中举行充实的测试，以确保规则的正确性和稳固性。

总结

通过连合 Data Group 和 iRules，F5 WAF 的黑白名单功能可以实现更机动、更高效的流量控制战略。公道使用这些工具，不仅可以提高系统的安全性，还可以优化性能，确保业务的安稳运行。

免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！更多信息从访问主页：qidao123.com:ToB企服之家，中国第一个企服评测及商务社交产业平台。

马上注册，结交更多好友，享用更多功能，让你轻松玩转社区。

浏览过的版块