当前位置：首页 > article >正文

网络安全 | F5 WAF 黑白名单配置实践指南

article 2025/10/24 10:25:02

`关注：CodingTechWork`

引言

在现代网络安全架构中，F5 Web Application Firewall (WAF) 是保护 Web 应用免受攻击的重要工具。F5 WAF 提供了强大的黑白名单功能，结合 Data Group 和 iRules，可以实现更灵活、更高效的流量控制策略。本文将详细介绍如何利用 F5 官方功能，结合 Data Group 和 iRules 配置黑白名单。

F5 WAF 黑白名单功能概述

F5 WAF 的黑白名单功能允许管理员根据 IP 地址、URL 或其他条件对流量进行分类和控制。通过将特定的 IP 地址或子网添加到白名单中，可以确保这些流量不会被误拦截；而将已知的恶意 IP 地址添加到黑名单中，则可以有效阻止这些流量。

Data Group 的创建与管理

Data Group 是 F5 提供的一种数据管理工具，用于存储一组相关的数据元素（如 IP 地址、字符串等）。通过 Data Group，可以方便地在 iRules 中引用这些数据，从而简化规则的编写。

iRules 的编写与应用

iRules 是 F5 提供的一种基于 TCL 语言的脚本工具，用于自定义流量处理逻辑。通过 iRules，可以实现复杂的流量控制策略。

白名单配置

创建 Data Group

登录 F5 BIG-IP 设备：使用管理员账户登录到 F5 BIG-IP 设备的管理界面。
导航到 Data Group：
- 在 Web 界面中，依次点击 Local Traffic > iRules > Data Group Lists。
创建 Data Group：
- 点击 Create 按钮，创建一个新的 Data Group。
- 名称：为 Data Group 设置一个易于识别的名称，例如 whitelist_ips。
- 类型：选择 address 类型（用于存储 IP 地址）。
- 添加条目：输入需要加入白名单的 IP 地址或子网，例如 192.168.1.0/24。

创建 iRules

登录 F5 BIG-IP 设备：使用管理员账户登录到 F5 BIG-IP 设备的管理界面。
导航到 iRules：
- 在 Web 界面中，依次点击 Local Traffic > iRules。
创建 iRules：
- 点击 Create 按钮，创建一个新的 iRule。
- 名称：为 iRule 设置一个易于识别的名称，例如 whitelist_rule。
- 内容：编写 iRule 脚本，使用 class match 命令引用 Data Group。

以下是一个简单的 iRule 示例，用于检查客户端 IP 是否在白名单中：

when CLIENT_ACCEPTED {if { [class match [IP::remote_addr] equals whitelist_ips] } {# 如果 IP 在白名单中，允许访问pool whitelist_pool} else {# 如果 IP 不在白名单中，拒绝访问drop}
}

应用 iRules 到虚拟服务器

导航到虚拟服务器：
- 在 F5 管理界面中，导航到 Local Traffic > Virtual Servers > Virtual Server List。
- 选择需要应用黑名单规则的虚拟服务器。
添加 iRules：
- 在虚拟服务器的 Resources > iRules 部分，点击 Manage。
- 在弹出的窗口中，选择刚刚创建的 whitelist_rule，然后点击 Add。

白名单配置流程

创建 Data Group：
- 创建一个名为 whitelist_ips 的 Data Group，类型为 address，并添加需要白名单的 IP 地址或子网。
创建 iRule：
- 编写 iRule 脚本，使用 class match 命令检查客户端 IP 是否在 whitelist_ips 中。
- 如果客户端 IP 在白名单中，允许访问；否则，拒绝访问。
应用 iRule：
- 将创建的 iRule 应用到相应的虚拟服务器（Virtual Server）上。

黑名单配置

创建 Data Group

Data Group 是 F5 BIG-IP 中用于存储一组数据（如 IP 地址、字符串等）的工具，可以在 iRules 中方便地引用这些数据。

登录 F5 BIG-IP 设备：
- 使用管理员账户登录到 F5 BIG-IP 设备的管理界面。
创建 Data Group：
- 导航到 Local Traffic > iRules > Data Group Lists。
- 点击 Create 按钮，创建一个新的 Data Group。
- 名称：输入一个易于识别的名称，例如 blacklist_ips。
- 类型：选择 address 类型（用于存储 IP 地址）。
- 添加条目：输入需要加入黑名单的 IP 地址或子网，例如 192.168.1.0/24。

创建 iRules

登录 F5 BIG-IP 设备：
- 使用管理员账户登录到 F5 BIG-IP 设备的管理界面。
创建 iRules：
- 导航到 Local Traffic > iRules。
- 点击 Create 按钮，创建一个新的 iRule。
- 名称：输入一个易于识别的名称，例如 blacklist_rule。
- 内容：编写 iRule 脚本，使用 class match 命令引用 Data Group。

以下是一个简单的 iRule 示例，用于检查客户端 IP 是否在黑名单中：

when CLIENT_ACCEPTED {if { [class match [IP::client_addr] equals blacklist_ips] } {# 如果 IP 在黑名单中，拒绝访问log local0. "Dropped connection from [IP::client_addr]: IP is blacklisted."drop}
}

应用 iRules 到虚拟服务器

导航到虚拟服务器：
- 在 F5 管理界面中，导航到 Local Traffic > Virtual Servers > Virtual Server List。
- 选择需要应用黑名单规则的虚拟服务器。
添加 iRules：
- 在虚拟服务器的 Resources > iRules 部分，点击 Manage。
- 在弹出的窗口中，选择刚刚创建的 blacklist_rule，然后点击 Add。

黑名单配置流程

创建 Data Group：
- 创建一个名为 blacklist_ips 的 Data Group，类型为 address，并添加需要白名单的 IP 地址或子网。
创建 iRule：
- 编写 iRule 脚本，使用 class match 命令检查客户端 IP 是否在 blacklist_ips 中。
- 如果客户端 IP 在白名单中，允许访问；否则，拒绝访问。
应用 iRule：
- 将创建的 iRule 应用到相应的虚拟服务器（Virtual Server）上。

注意事项

性能优化：合理配置 Data Group 和 iRules，避免过多的匹配操作影响性能。
定期更新：根据实际情况定期更新 Data Group 中的 IP 地址，确保黑白名单的有效性。
测试验证：在生产环境中应用新的规则之前，建议在测试环境中进行充分的测试，以确保规则的正确性和稳定性。

总结

通过结合 Data Group 和 iRules，F5 WAF 的黑白名单功能可以实现更灵活、更高效的流量控制策略。合理使用这些工具，不仅可以提高系统的安全性，还可以优化性能，确保业务的平稳运行。

关注：CodingTechWork

引言

F5 WAF 黑白名单功能概述

Data Group 的创建与管理

iRules 的编写与应用

白名单配置

创建 Data Group

创建 iRules

应用 iRules 到虚拟服务器

白名单配置流程

黑名单配置

创建 Data Group

创建 iRules

应用 iRules 到虚拟服务器

黑名单配置流程

注意事项

总结

相关文章：

`关注：CodingTechWork`