通用黑名单
这页解决什么问题
通用黑名单 用来回答一个很直接的问题:
我已经确认某个 IP 不应该再碰到统一网关,能不能立刻把它挡住?
它适合这些场景:
- 请求日志里看到持续探测的来源
- WAF 日志里看到明确攻击请求
- 某个 Host 的活跃 IP 明显异常
- 你想手动封掉一个固定 IPv4 或 IPv6
加入通用黑名单后,这些 IP 将无法经由网关进入。放出后,它们会恢复正常网关流程,仍然要继续接受认证、可见性、WAF 和其他规则判断。
入口在哪里
路径:
会话与安全 → 通用黑名单
这个页签可以:
- 搜索 IP、来源或备注
- 手动添加 IP
- 批量删除已选 IP
- 查看来源标签
- 查看创建和更新时间
- 查看 IP 归属地
手动添加时可以每行一个 IP,也可以用空格或逗号分隔。
支持什么格式
通用黑名单只支持精确 IP:
- IPv4
- IPv6
它不支持:
- CIDR
- 通配符
- 域名
- IP 段表达式
如果你想按网段或地区收窄入口,应该优先使用:
来源标签怎么理解
列表里的 来源 主要帮助你回忆这条记录是怎么来的。
常见来源包括:
| 来源 | 含义 |
|---|---|
手动 | 在通用黑名单页面直接添加 |
请求日志 | 从请求日志里的 IP 操作加入 |
活跃 IP | 从 Host 活跃 IP 弹窗加入 |
WAF 日志 | 从 WAF 日志里的 IP 操作加入 |
来源只是记录线索,不会改变拦截效果。
和其他安全功能的区别
IP 白名单
IP 白名单 是“允许访问”的机制。
它回答的是:
- 哪些 IP 已经被登录、手动授权或 CNAME 解析授权
- 在直连模式里,哪些 IP 可以继续访问原始端口
通用黑名单回答的是:
- 哪些 IP 不应该经由网关进入
扫描器黑名单
扫描器黑名单是自动检测出来的临时封禁。
它通常来自:
- 未认证访问
- 高频异常路径探测
- 扫描拦截规则
通用黑名单更偏手动决策,可以从日志或活跃 IP 列表里直接加入,也可以在通用黑名单页自行维护。
网关可见性
网关可见性 是入口前置收敛。
它适合:
- 只允许特定地区访问
- 只允许固定 CIDR 访问
- 一开始就缩小暴露面
通用黑名单适合:
- 已经发现某个精确 IP 异常
- 临时或长期封掉某个来源
- 从日志排查过程中快速处置
从请求日志拉黑
在 请求日志 中,你可以对日志里的客户端 IP 执行:
拉黑 IP放出 IP
适合这些情况:
- 某个 IP 持续访问不存在路径
- 某个 IP 明显在扫接口
- 某条日志已经显示它被通用黑名单阻断,你想确认或放出
请求日志里如果出现 通用黑名单阻断,说明这次请求已经命中了通用黑名单。
从 WAF 日志拉黑
在 WAF 的 WAF日志 页面,也可以对客户端 IP 执行:
拉黑 IP放出 IP
适合这些情况:
- 某个 IP 命中 SQL 注入、XSS、RCE 等规则
- 你确认不是误报,想直接阻断后续访问
- 多条 WAF 事件来自同一个来源
建议先打开单条详情确认规则、路径和请求上下文,再决定是否加入通用黑名单。
从 Host 活跃 IP 拉黑
在 子域映射 的 Host 流量详情里,可以查看最近仍在访问某个 Host 的活跃 IP。
如果你发现某个来源持续访问异常,可以直接在活跃 IP 弹窗里:
- 拉黑单个 IP
- 批量拉黑多个 IP
- 放出已在通用黑名单里的 IP
这比只看全局日志更适合处理“某个子域正在被持续访问”的问题。
推荐的使用方式
- 先从请求日志、WAF 日志或 Host 活跃 IP 确认来源
- 只对明确异常的精确 IP 加入通用黑名单
- 添加备注,记录原因
- 观察后续日志是否还出现同类请求
- 如果发现误伤,再从通用黑名单页或日志页放出
常见误区
误区一:通用黑名单可以替代网关可见性
不能。
通用黑名单适合处理已经发现的精确 IP。网关可见性适合提前限定地区或网段。
如果你明确只希望某些地区或固定出口能访问,优先用网关可见性。
误区二:加入黑名单后就不需要 WAF
不是。
通用黑名单只处理明确 IP。WAF 处理的是已经进入网关的 HTTP 请求内容和攻击特征。
两者适合叠加使用:
- WAF 发现攻击行为
- 你确认后把来源 IP 加入通用黑名单
误区三:删除记录等于自动放行
删除通用黑名单记录后,只是恢复正常网关流程。
这个 IP 后续仍然可能被:
- 网关可见性拦住
- WAF 阻断
- 扫描器黑名单封禁
- 认证流程要求登录