Чёрный список

Как работает чёрный список и как его настроить.

  • Чёрный список является частью настроек защитного профиля, к которому привязан ваш ресурс, и применяется только при обнаружении аномалии.

  • Если у вас несколько защитных профилей, обратите внимание — чёрные списки настраиваются для каждого профиля отдельно. Подробнее читайте в разделе Как настроить.

Что это

Чёрный список — инструмент, с помощью которого можно заблокировать трафик с определённых IP-адресов или подсетей.

Пример: при настройках ниже система заблокирует любой трафик с адреса 192.0.2.5/32.

Пример настроек

Когда пригодится

Чёрный список нужен для блокировки:

  • конкретных IP-адресов или подсетей, с которых зафиксирована подозрительная активность;

  • нецелевого трафика, который создаёт лишнюю нагрузку на ресурс.

  • других нежелательных источников.

Как работает фильтрация с чёрным списком

Фильтрация трафика происходит по определённому набору правил — защитному профилю. Система блокирует подозрительные пакеты, а остальные пропускает дальше на ваши ресурсы.

Чёрный список встроен в правила фильтрации. Если трафик пришёл от источника из списка, система посчитает его нежелательным и сразу заблокирует все входящие пакеты.

Как настроить

В разделе Защита сетиЗащитные профили проверьте, сколько у вас защитных профилей.

Список защитных профилей

Если профиль один, просто добавьте адреса по инструкции ниже. Если несколько, сначала раскройте подсказку:

Как настроить списки для нескольких защитных профилей?

Защитный профиль — набор правил для фильтрации трафика. Когда профилей несколько, это значит, что трафик к разным ресурсам фильтруется по-разному.

Каждый профиль защищает только IP-адреса или подсети, которые указаны напротив него в столбце IPs:

Список защищаемых ресурсов

У каждого профиля свой чёрный список. Учитывайте это при настройке:

  1. Посмотрите, какие ресурсы привязаны к конкретному профилю.

  2. В чёрный список этого профиля добавьте адреса, которые не должны иметь доступ к указанным ресурсам.

Если какой-то адрес нужно ограничить для всех ваших ресурсов, добавьте его в чёрные списки всех профилей.

В панели управления

  1. В разделе Защита сети → Защитные профили найдите профиль, для которого нужно настроить чёрный список. Нажмите в конце строки на три точки (…​) и выберите Черный список.

    Переход к чёрному списку

  2. Нажмите + Добавить IP-адрес.

    Кнопка для добавления адреса

  3. В открывшемся окне укажите IP-адрес (например, 203.0.113.50/32) или подсеть (например, 203.0.113.0/24). Если нужно добавить сразу несколько записей, перечислите их через запятую.

    Будьте внимательны при добавлении адресов в список. Ошибка в одной цифре или использование маски /24 вместо /32 может привести к блокировке легитимного трафика из целого сегмента сети.
    Добавление адресов

  4. Нажмите Создать. Добавленные адреса появятся в списке.

Пример чёрного списка

Если в будущем потребуется удалить адрес из списка — нажмите на иконку корзины и подтвердите действие.

Через API

  • Чёрные списки через API настраиваются отдельно для каждого защитного профиля.

  • В одном API-запросе можно передать максимум 15 000 IP-адресов.

Для добавления или удаления адресов выберите соответствующий метод в API-документации. Укажите в параметрах запроса ID профиля и нужные IP-адреса/подсети.

Через remote-список

Remote-список позволяет получить список нежелательных адресов из файла, опубликованного на вашем ресурсе. Система будет обращаться к файлу по протоколу HTTP(S) и забирать обновлённый список GET-запросами. Интервал обращения установим с учётом ваших пожеланий (минимальное значение — 1 минута).

  • Адреса из remote-списка не заменяют настройки через панель управления или API, а дополняют их — система будет учитывать все списки одновременно.

  • Если защитных профилей несколько, можем настроить общий remote-список. Тогда вам не придётся прописывать адреса для каждого профиля отдельно — список заработает для всех ресурсов.

Как настроить:

  1. Опубликуйте список на своём ресурсе (одна строка списка — один адрес или подсеть).

  2. Разрешите доступ к списку для нашего IP-адреса: 185.66.85.144.

  3. Напишите в поддержку, чтобы наши специалисты включили синхронизацию.

Чтобы удалить адрес из чёрного списка, просто удалите его из файла на вашем ресурсе. Система увидит изменения и перестанет считать этот адрес нежелательным.