Типы и логика работы списков IP‑адресов¶

В секции Списки IP в Консоли управления Вебмониторэкс вы можете настраивать доступ к вашим приложениям по IP‑адресам, добавляя их в белый, черный и серый списки:

Белый список — список доверенных IP‑адресов, которым вы разрешаете доступ к приложениям вне зависимости от наличия в запросах признаков атак.
Черный список — список IP‑адресов, которым вы не разрешаете доступ к приложениям, даже если в запросах нет признаков атак.
Серый список — список IP‑адресов, которым вы разрешаете доступ к приложениям, только если в запросах нет признаков атак.

Алгоритм обработки списков IP‑адресов¶

WAF‑нода анализирует источники запросов и соотносит их со списками IP‑адресов только в режиме мягкой или обычной блокировки.

Включен режим мягкой блокировки:
1. Если IP‑адрес источника запроса добавлен в белый список, WAF‑нода пропускает запрос. Если IP‑адреса нет в белом списке, выполняется следующий шаг.
2. Если IP‑адрес источника запроса добавлен в черный список, WAF‑нода блокирует запрос. Если IP‑адреса нет в черном списке, выполняется следующий шаг.
3. Если IP‑адрес источника запроса добавлен в серый список и запрос содержит признаки атаки, WAF‑нода блокирует запрос. Если в запросе нет признаков атаки, WAF‑нода пропускает его. Если IP‑адреса нет в сером списке, выполняется следующий шаг.
4. Если источника запроса нет ни в одном списке, WAF‑нода пропускает запрос вне зависимости от наличия признаков атак.
Включен режим блокировки:
1. Если IP‑адрес источника запроса добавлен в белый список, WAF‑нода пропускает запрос. Если IP‑адреса нет в белом списке, выполняется следующий шаг.
2. Если IP‑адрес источника запроса добавлен в черный список, WAF‑нода блокирует запрос. Если IP‑адреса нет в черном списке, выполняется следующий шаг.
3. Если источника запроса нет ни в белом, ни в черном списке и в запросе есть признаки атаки, WAF‑нода блокирует запрос. Если в запросе нет признаков атаки, WAF‑нода пропускает его.

WAF‑нода всегда анализирует списки IP‑адресов в следующей последовательности: белый, черный, серый. Например, если IP‑адрес добавлен и в белый и в черный списки, то WAF‑нода будет считать его доверенным источником и пропускать запросы с этого IP‑адреса.

Настройка списков IP‑адресов¶

Чтобы настроить списки IP‑адресов:

Если перед передачей на WAF‑ноду запросы проходят через прокси‑сервер или балансировщик нагрузки, настройте корректную передачу реального IP‑адреса источника на WAF‑ноду по инструкции:
- Для WAF‑ноды на основе NGINX (в том числе для образов GCP и Docker-контейнера)
- Для Ingress-контроллера Вебмониторэкс в Kubernetes
Добавьте IP‑адреса в списки:

Использование внешнего файервола для блокировки IP‑адресов

Если вы используете дополнительные средства (программные или аппаратные) для автоматической фильтрации и блокировки трафика, необходимо добавить IP‑адреса Сканера Вебмониторэкс в белый список соответствующего средства фильтрации. Это позволит компонентам Вебмониторэкс беспрепятственно проверять ваши ресурсы на наличие уязвимостей.

Список IP‑адресов для RU‑облака Вебмониторэкс