关于黑白名单的部分建议

尊敬的雷池WAF团队：

您好！

我是贵公司雷池WAF产品的一名用户，首先感谢您们提供了这样一款强大且可靠的安全防护产品。由于业务需求，我经常需要向NAS设备上传各种工具或脚本文件，包括shell脚本和py脚本等。然而，在使用过程中，我发现一个较为困扰的问题：在上传这些明文脚本时，大约有50%的概率会被WAF误判为恶意请求而被拦截。尽管了解这是为了保障系统的安全性，但对于日常工作的效率产生了一定影响。

针对这一情况，我想提出一个关于“临时白名单”机制的建议，旨在不牺牲安全性的前提下，提高用户体验和工作效率。具体设想如下：

• 临时白名单功能：引入一种可以在特定时间节点、对特定请求进行临时性放行的白名单机制。例如，当用户尝试上传文件遇到WAF拦截时，可以通过访问指定的二级目录（该目录由运维人员自定义，并设置了严格的认证方式，如账号+密码+二次认证）来获取当前IP地址，临时将此IP加入白名单，允许其在接下来的指定时间段内（如10分钟或30分钟）自由上传文件而不受WAF拦截。
• 灵活的时间控制与身份验证：运维人员可以根据实际情况设定临时白名单的有效时长，同时也支持随着认证方式生成的cookie或token注销而自动失效的功能。这样的设计既保证了灵活性，也确保了安全性。
• 简易操作流程：考虑到用户的便利性，整个过程应尽可能简化，减少不必要的步骤。比如，通过简单的URL访问加上必要的身份验证即可完成临时白名单的添加，无需每次都要进入WAF控制后台手动调整设置。
  我相信，这样一个临时白名单机制不仅能有效解决像我这样的用户在特定场景下的实际困难，同时也能进一步提升雷池WAF产品的用户友好度和市场竞争力。希望贵团队能够考虑这一建议，并期待未来版本中能看到相关功能的实现。

再次感谢您的阅读与考虑！

补充一下，可能每次访问时IP会变化，国内很少会有固定的IP地址，比如手机热点这种，很难使用白名单机制，直接加白，或者内网中使用了随机的内网地址转换

您好，首先感谢您对雷池 WAF 的支持，不过按照描述来说这个需求并不普遍，暂时不会考虑做到产品里面。但是我给你写了一个脚本来完成这个事情，大致的效果为

检测到的 IP 地址：
内网 IP: 10.xx.xx.xx
公网 IP: 36.xx.xx.xx

是否确认添加这些 IP 到白名单？(y/n)
y
正在添加白名单规则...
白名单添加成功，规则 ID: 7
请完成操作后输入 'y' 删除白名单规则...
y
正在删除白名单规则...
白名单规则已删除

使用方式

1. 保存此脚本为 add_whitelist.sh

#!/bin/bash

# 检查参数
if [ $# -ne 2 ]; then
    echo "使用方法: $0 <域名> <Token>"
    echo "示例: $0 https://xxx.waf.com:9443 your_token"
    exit 1
fi

DOMAIN=$1
TOKEN=$2
API_URL="$DOMAIN/api/open/policy"

# 获取内网 IP
INTERNAL_IP=$(ipconfig getifaddr en0 || ip addr show | grep -E "inet .* brd" | awk '{print $2}' | cut -d'/' -f1 | head -n 1)

# 获取公网 IP（尝试多个服务）
PUBLIC_IP=""
for service in "https://api.ipify.org" "https://ifconfig.me" "https://ipinfo.io/ip" "https://icanhazip.com"; do
    PUBLIC_IP=$(curl -s -k --connect-timeout 5 $service)
    if [ -n "$PUBLIC_IP" ]; then
        break
    fi
done

if [ -z "$PUBLIC_IP" ]; then
    echo "警告：无法获取公网 IP，将只使用内网 IP"
    IP_LIST="[\"$INTERNAL_IP\"]"
else
    IP_LIST="[\"$INTERNAL_IP\",\"$PUBLIC_IP\"]"
fi

echo "检测到的 IP 地址："
echo "内网 IP: $INTERNAL_IP"
if [ -n "$PUBLIC_IP" ]; then
    echo "公网 IP: $PUBLIC_IP"
fi
echo ""
echo "是否确认添加这些 IP 到白名单？(y/n)"
read -r confirm

if [ "$confirm" != "y" ]; then
    echo "已取消添加白名单"
    exit 0
fi

# 添加白名单规则
echo "正在添加白名单规则..."
RESPONSE=$(curl -s -k -X POST "$API_URL" \
    -H "accept: */*" \
    -H "content-type: application/json" \
    -H "X-SLCE-API-TOKEN: $TOKEN" \
    --data "{\"name\":\"临时白名单\",\"is_enabled\":true,\"pattern\":[[{\"k\":\"src_ip\",\"op\":\"eq\",\"v\":$IP_LIST,\"sub_k\":\"\"}]],\"auth_source_ids\":[],\"action\":0,\"log\":false}" 2>&1)

# 提取规则 ID
RULE_ID=$(echo $RESPONSE | grep -o '"data":[0-9]*' | cut -d':' -f2)

if [ -z "$RULE_ID" ]; then
    echo "添加白名单失败，错误信息："
    echo "$RESPONSE"
    exit 1
fi

echo "白名单添加成功，规则 ID: $RULE_ID"
echo "请完成操作后输入 'y' 删除白名单规则..."

# 等待用户输入
read -r input

if [ "$input" = "y" ]; then
    echo "正在删除白名单规则..."
    DELETE_RESPONSE=$(curl -s -v -k -X DELETE "$API_URL" \
        -H "accept: */*" \
        -H "content-type: application/json" \
        -H "X-SLCE-API-TOKEN: $TOKEN" \
        --data "{\"id\":$RULE_ID}" 2>&1)
    
    if echo "$DELETE_RESPONSE" | grep -q '"err":null'; then
        echo "白名单规则已删除"
    else
        echo "删除白名单规则失败，错误信息："
        echo "$DELETE_RESPONSE"
    fi
else
    echo "未删除白名单规则，请手动删除规则 ID: $RULE_ID"
fi 

2. 获取 token

3. 执行命令

 bash add_whitelist.sh https://waf地址:9443 api_token