Перейти к содержанию

Черный список IP‑адресов

Черный список — список IP‑адресов, которым вы не разрешаете доступ к приложениям, даже если в запросах нет признаков атак. При любом режиме фильтрации WAF‑нода блокирует запросы с IP-адресов из черного списка, если IP‑адреса не дублируются в белом списке.

Изменения в логике обработки черного списка IP‑адресов в выключенном режиме и режиме мониторинга

Начиная с WAF‑ноды версии 3.2, черный список НЕ применяется, если WAF‑нода работает в выключенном режиме или режиме мониторинга.

Перед обновлением модулей до версии 3.2 убедитесь, что черный список IP‑адресов применяется как ожидается.

Если вы обнаружили изменения после обновления, пожалуйста, адаптируйте настройку режима фильтрации под изменения. Подробнее о настройке режима фильтрации

В Консоли управления Валарм → Списки IP‑адресовЧерный список вы можете управлять заблокированными IP‑адресами:

  • Добавлять отдельные IP‑адреса и подсети

  • Добавлять группы IP‑адресов, зарегистрированные в определенной стране, дата-центре, узле и т.д.

  • Настраивать время и причину хранения IP‑адреса в списке

  • Удалять IP‑адрес из списка

  • Просматривать историю изменения списка

Черный список IP

Примеры использования черного списка IP‑адресов

  • Добавлять в черный список IP-адреса, с которых отправлено несколько атак подряд.

    Попытка атаки ваших приложений может состоять из нескольких запросов с векторами разных типов, отправленных с одного IP‑адреса. Один из способ блокировки подобных атак — блокировка IP‑адреса источника запросов. Чтобы блокировать IP‑адрес автоматически, вы можете использовать триггер. В триггере настраиваются время блокировки IP‑адреса и порог векторов атак для срабатывания триггера.

  • Блокировка поведенческих атак.

    WAF‑нода может блокировать большую часть вредоносного трафика на основе каждого запроса, в котором определяется вектор атаки. Однако для поведенческих атак, в которых каждый запрос является легитимным (например, попытки авторизоваться с парами имя пользователя и пароль), необходимо блокировать источник.

    По умолчанию автоматическая блокировка источника поведенческих атак выключена. Инструкция по настройке защиты от поведенческих атак →

Добавление IP‑адреса в список

Добавление IP‑адреса в список на партнерской ноде

Если в вашей инфраструктуре установлена партнерская WAF‑нода, перед выполнением приведенных шагов необходимо переключиться на аккаунт партнерского клиента, для которого вы добавляете IP‑адрес в список.

Чтобы добавить IP‑адрес в список:

  1. Нажмите кнопку Добавить объект.

  2. Укажите IP‑адрес или группу IP‑адресов, используя один из способов:

    • Введите одиночный IP‑адрес или маску подсети
    • Выберите страну (геолокацию), чтобы добавить в список все IP‑адреса, которые зарегистрированы в ней
    • Выберите источник, чтобы добавить в список все IP‑адреса, которые ему принадлежат:
      • Tor для IP‑адресов узлов Tor
      • Proxy для IP‑адресов публичных или веб-серверов
      • VPN для IP‑адресов сетей VPN
      • AWS для IP‑адресов, зарегистрированных в Amazon
      • Azure для IP‑адресов, зарегистрированных в Microsoft Azure
      • GCP для IP‑адресов, зарегистрированных в Google Cloud Platform
  3. Выберите приложения, к которым вы разрешаете или запрещаете доступ IP‑адресу или группе IP‑адресов.

  4. Выберите срок, на который необходимо добавить IP‑адрес или группу IP‑адресов в список. Минимальное значение — 5 минут, максимальное — навсегда.

  5. Укажите причину добавления IP‑адреса или группы IP‑адресов в список.

  6. Подтвердите добавление IP‑адреса или группы IP‑адресов в список.

Добавление IP в список (с приложением)

Анализ добавленных IP‑адресов

Для каждого объекта, добавленного в список, в Консоли управления отображаются следующие данные:

  • Объект — IP‑адрес, подсеть, страна или источник IP‑адреса, добавленные в список.

  • Приложения — приложение, к которому настроен доступ для IP‑адреса или группы IP‑адресов.

  • Источник — источник одиночного IP‑адреса или подсети:

    • Страна (геолокация), в которой зарегистрирован IP‑адрес или подсеть
    • Дата‑центры, которым принадлежит IP‑адрес или подсеть: AWS для Amazon, GCP для Google Cloud Platform, Azure для Microsoft Azure
    • Tor для IP‑адресов узлов Tor
    • Proxy для IP‑адресов публичных или веб-серверов
    • VPN для IP‑адресов сетей VPN
  • Причина — причина добавления IP‑адреса или группы IP‑адресов в список. Указывается при добавлении объекта вручную или генерируется автоматически, если объект добавлен в список по триггеру.

  • Дата добавления — дата и время добавления IP‑адреса в список.

  • Удаление — временной период, после которого IP‑адрес удалится из списка.

Фильтрация списка

Вы можете отфильтровать список IP‑адресов по параметрам:

  • IP‑адрес или подсеть, введенные в поисковой строке

  • Период, за который необходимо получить состояние списка

  • Страна, в которой зарегистрирован IP‑адрес или подсеть

  • Источник, к которому принадлежит IP‑адрес или подсеть

Изменение времени нахождения IP‑адреса в списке

Чтобы изменить время нахождения IP‑адреса в списке:

  1. Выберите необходимый IP‑адрес из списка.

  2. Откройте меню IP‑адреса и нажмите Изменить время.

  3. Выберите новую дату удаления IP‑адреса из списка и подтвердите действие.

Удаление IP‑адреса из списка

Чтобы удалить IP‑адрес из списка:

  1. Выберите необходимый IP‑адрес из списка.

  2. Откройте меню IP‑адреса и нажмите Удалить.

Также вы можете выбрать несколько IP‑адресов и удалить их одновременно.

Повторное добавление удаленного IP‑адреса

После ручного удаления IP‑адреса, который был добавлен в список по триггеру, повторное срабатывание триггера произойдет только по истечении половины предыдущего времени нахождения IP‑адреса в списке.

Пример с серым списком:

  1. IP‑адрес был автоматически добавлен в серый список на 1 час, так как с этого IP‑адреса было отправлено 4 разных вектора атаки за 1 час (согласно триггеру).
  2. Пользователь удалил IP‑адрес из серого списка через Консоль управления Валарм.
  3. Если после удаления с IP‑адреса будут отправлены еще 4 разных вектора атаки менее чем за 30 минут, IP‑адрес не добавится в серый список.