# 恶意 IP 封禁

恶意 IP 封禁可以让 UWAF 在当前域名受到在一定的周期内统计到来自单 IP 的多次攻击时间内遭受到多少次攻击后，自动对攻击请求的来源 IP 施加惩罚措施，即将该 IP 加入到域名的黑名单中以进行封禁处理。如果前方有第三方代理，在未获取准确来源 IP 的情况下，可能造成误封操作。

恶意 IP 封禁受黑白名单状态控制，仅当黑白名单状态为开启时生效。

<!-- image-todo -->

> 各类规则的优先级参见[规则优先级](/docs/uewaf/features/rule/mode#规则优先级)。

!> 注意：  
恶意 IP 功能依赖于[域名黑名单](/docs/uewaf/features/expand/ip_query/black_list)规则，原理是 UWAF 统计某 IP 的攻击请求后自动生成黑名单规则，规则生效可能存在延时，以实际生效时间为准。可以在【功能设置】->【IP 管理】->【[黑名单](/docs/uewaf/features/expand/ip_query/black_list)】当中查看被恶意 IP 封堵规则封堵的 IP，触发恶意 IP 封禁规则而被加入黑名单的 IP 的加入方式为“自动拦截规则”。

## 添加规则

可以根据攻击类型和攻击频率添加规则，添加了攻击类型为“全部”的规则时，无法再添加其他攻击类型的封禁规则；添加了具体的攻击类型的规则时，无法再添加攻击类型为“全部”的封禁规则。

<!-- image-todo -->

### 规则参数说明

| 参数     | 说明                                                                                             |
| -------- | ------------------------------------------------------------------------------------------------ |
| 统计周期 | 统计攻击请求的周期                                                                               |
| 攻击类型 | 统计哪些指定的攻击类型，默认为全部，只能设置一条全部类型的规则，不同攻击类型的规则也只能设置一条 |
| 次数阈值 | 特定的攻击类型的攻击请求次数                                                                     |
| 封禁时长 | 加入黑名单后，该黑名单的生效时间                                                                 |

> 攻击请求定义：触发默认 UWAF 规则及自定义 UWAF 规则（不包括⽤户自定义的放行规则）的请求及触发 CC 规则的请求（不包括后续的拦截请求）。