FreeBuf.COM网络安全行业门户，每日发布专业的安全资讯、技术剖析。

接入Web应用防火墙（Web Application Firewall，简称WAF）后，由于waf的规则过于严格，经常是宁可错杀一百，不肯放过一个，导致会有合法的流量被拦截。发生这种情况后，我们可以为这些合法流量添加白名单策略。下文将介绍如何设置白名单策略。

由于各家的产品不同，本文以绿盟waf为例来讲述。

方法1.新建HTTP访问控制

名称：xx白名单（任意写）

描述：详细记录你的改动/设置理由，每一条策略，说明是针对什么应用的什么功能、因为什么原因、在什么时间添加的。这对于未来的维护和审计至关重要。

是否告警：根据你的展示需求选择，一般白名单告警不具备分析价值，告警会占用大量的展示平台和存储资源，可选择不告警

动作：放过（放过：对符合条件的请求，WAF不再作任何安全检测而直接转发给服务器；）

防护信息根据你的需求自行设置,都不是必需项，只勾选你需要的项就可以

1.主机名:指请求中的host项，根据你的host选择合适的匹配方法（红框），如果严格匹配host，可选择”等于“

2.URI-Path:选择合适的匹配方式，填写你需要加白的url（策略中的“URI-Path”是指HTTP请求的URI中不包含参数信息的那部分。假如来访的URI为“/demo/index.php?id=1”，那么URI-Path是指“/demo/index.php”。）

举例：假设你需要加白URI为“/demo/index.php?id=1”，可选择”等于“，填写”/demo/index.php“

！！！注意：白名单的范围尽可能小而精。也就是说你需要尽可能精确匹配你需要放过的url，比如上述例子中，选择”正则匹配“，填写”/demo/.*“,也可以匹配到URI-Path“/demo/index.php”，但是显然这样的限制条件太宽了，/demo/shell.aaa.php这样的也会被放过。

3.HTTP方法:WAF提供多个已知的HTTP方法供用户选择。当在条件中选择了多个HTTP方法时，若运算为“属于”，则只要请求的HTTP方法与其中任一HTTP方法相同即匹配该条件

4.客户端IP:假设需要添加白名单IP放过，选择“不属于",填写IP地址。

此处支持批量操作，可以编辑一个 白名单.txt 文件，勾选”选择已有的IP黑名单文件".(不要被这个黑名单文件误导了哈，我们的逻辑是属于/不属于这个名单。白名单策略，肯定是“ 放过 -->属于 -->IP名单文件”的IP）

设置完成，点击“确定”

最后一步，不要忘了将策略应用到你的站点中哦！！

方法2.添加到例外策略

哈哈哈，相信这个大家都会。在告警页面中，发现某条告警需要加白，直接拖到最→右边，点击+号，添加到例外策略就可以实现对这个告警加白名单了。

完结撒花！！！

免责声明

1.一般免责声明：本文所提供的技术信息仅供参考，不构成任何专业建议。读者应根据自身情况谨慎使用且应遵守《中华人民共和国网络安全法》，作者及发布平台不对因使用本文信息而导致的任何直接或间接责任或损失负责。

2. 适用性声明：文中技术内容可能不适用于所有情况或系统，在实际应用前请充分测试和评估。若因使用不当造成的任何问题，相关方不承担责任。

3. 更新声明：技术发展迅速，文章内容可能存在滞后性。读者需自行判断信息的时效性，因依据过时内容产生的后果，作者及发布平台不承担责任。

本文为 独立观点，未经授权禁止转载。
如需授权、对文章有疑问或需删除稿件，请联系 FreeBuf 客服小蜜蜂（微信：freebee1024）