問題現象

需要對網段做白名單，但是已經是反向代理模式，訪問控制裡面的動作只有攔截沒有放行，無法配置白名單。

告警信息

在反代模式下，可以看到訪問控制規則中只有攔截動作沒有放行。

原因分析

WAF只有透明代理可以直接在配置-訪問控制裡配置放行動作。

可以通過自定義規則對報文的一些特徵做檢測，來達到放行的動作。在反代模式中，WAF上報文的請求IP地址發生了變化，所以不能將自定義規則配置成匹配請求IP。

解決辦法

客戶希望對網段做白名單，由於現場是反向代理模式，訪問控制裡面的動作只有攔截沒有放行，可以使用如下方式實現：

可以在自定義規則中作如下配置：檢測請求頭，匹配正則：x-forwarded-for:\\s192\\.168\\.1.*（用於匹配源地址為：192.168.1.0網段的客戶端）。勾選字母最小化和URL解碼，動作選擇“放行”，再將該規則添加到相應的規則組，只要是引用了規則組的站點該規則都會生效，如下圖所示。

建議與總結

在反代模式下，可以通過檢測x-forwarded-for請求頭，對地址或地址段進行放行操作

閱讀更多 網絡小學渣 的文章

關鍵字: WAF 動作 網段