一、6 种白名单功能作用、适用场景完整区分
1. 监控 -> 综合分析 -> 攻击防范 -> 白名单(攻击防范白名单)
- 作用:规避攻击检测拦截,不跳过域间安全策略
防火墙 DOS / 扫描 / 异常报文攻击检测模块匹配到名单内 IP 时,不判定为攻击、不阻断、不产生攻击日志;
- 限制:流量依然会走安全策略校验,策略拒绝则依旧不通;
- 适用:服务器、运维固定 IP 频繁发包被误报扫描、DOS 攻击。
2. 对象 -> 安全配置文件 ->Web 应用防护 -> 白名单(WAF 白名单)
- 作用:Web 防护规则豁免,仅针对 HTTP/HTTPS 流量,不跳过安全策略
名单内源 IP 访问 Web 业务时,跳过 SQL 注入、XSS、路径遍历等 WAF 特征拦截;
- 限制:仅放行 Web 攻击检测,基础域间安全策略、端口过滤仍生效;
- 适用:运维管理平台、第三方 API 扫描工具、合法测试系统。
3. 对象 -> 安全配置文件 -> 入侵防御 -> 白名单(IPS 特征白名单)
- 作用:入侵防御特征库豁免,所有协议流量,不跳过安全策略
匹配名单的流量不匹配 IPS 漏洞 / 病毒 / 木马特征,不会被 IPS 阻断;
- 限制:仅豁免入侵检测,安全策略、NAT、攻击防范单独校验;
- 适用:内部开发调试、合法运维工具触发 IPS 误拦截。
4. 网络 -> 安全接入 ->MAC 接入 ->MAC 地址白名单
- 作用:二层接入准入放行,仅控制 802.1X/MAC 旁路认证,不跳过三层安全策略
白名单 MAC 终端无需认证即可接入网络,但跨 VLAN、访问外网仍受域间安全策略管控;
- 适用:打印机、监控摄像头等哑终端免认证上网。
5. 网络 -> 安全接入 ->IP 接入 ->IPv4/IPv6 地址白名单(三层准入白名单)
- 作用:三层准入豁免,仅针对 EIA/SSL VPN 等接入认证,不跳过域间安全策略
名单内 IP 无需账号密码认证即可接入内网,流量转发依旧匹配安全策略;
- 适用:固定服务器 IP 免准入校验。
二、关键问题:哪类白名单可以不经过安全策略检查?
结论:以上 6 个菜单里没有任何一种可以跳过域间安全策略
这 6 类白名单全部属于安全子功能模块豁免,仅跳过对应模块的检测规则,流量必须匹配安全策略允许才能转发。
真正实现「免安全策略、直接放行流量」的配置(区分两类)
方案 1:全局免策略转发(永久放行,完全跳过安全策略)
命令行配置域间豁免 / 快速放行 IP 对象,流量直接转发,不匹配任何安全策略:
system-view
security-policy
# 源IP 192.168.1.0/24 访问任意目的,跳过安全策略直接允许
ip-exempt source-address 192.168.1.0 mask 255.255.255.0
Web 路径:安全策略 → 高级设置 → IP 豁免列表(不同版本名称略有差异)
方案 2:域间策略永久允许(替代方案,推荐)
新建置顶安全策略,源 / 目的填写需要放行的 IP,动作允许,放置在所有拒绝策略最上方,等效免策略效果,可控性更强:
- 优势:可限定源 / 目的安全域、端口、协议,比全局 IP 豁免更安全;
- 劣势:依旧会经过安全策略模块匹配,只是第一条就命中允许。
三、6 类白名单对比速查表
| 白名单类型 | 豁免模块 | 是否跳过域间安全策略 | 适用流量 |
|---|
| 攻击防范白名单 | DOS / 扫描攻击检测 | ❌ 不跳过,策略仍校验 | 全部 IP 流量 |
| Web 应用防护白名单 | WAF Web 攻击规则 | ❌ 不跳过,策略仍校验 | HTTP/HTTPS |
| 入侵防御 IPS 白名单 | IPS 漏洞 / 病毒特征 | ❌ 不跳过,策略仍校验 | 全部 IP 流量 |
| MAC 接入白名单 | 二层 MAC 准入认证 | ❌ 不跳过,三层策略仍校验 | 二层终端接入 |
| IPv4/IPv6 接入白名单 | 三层 802.1X/SSL 准入 | ❌ 不跳过,域间策略仍校验 | 三层接入终端 |
四、选型建议
- 仅想消除攻击 / IPS/WAF 误拦截:根据业务选择对应攻击防范 / IPS/WAF 白名单;
- 仅想哑终端免认证接入:MAC 白名单;服务器免准入用 IP 接入白名单;
- 需要完全不经过安全策略校验,无条件放行:配置
ip-exemptIP 豁免列表;
- 需要可控的免拦截(推荐):新建置顶全允许安全策略,限定网段、端口。
暂无评论