参数设置
2026/6/30大约 3 分钟
参数设置
参数设置用于集中管理 SamWaf 管理端自身的安全与访问相关配置,对应 conf/config.yml 中的相关项,可在界面修改并即时保存。
菜单路径:系统设置 → 参数设置
1 管理端 IP 白名单
限制可以访问 SamWaf 管理端的来源 IP,支持 CIDR。填写后点击「保存」生效。
注意
若白名单配置错误,可能把自己也挡在管理端之外。此时可编辑 conf/config.yml 的 security.ip_whitelist(如改为 0.0.0.0/0,::/0)后重启恢复,详见常见问题。
2 域名白名单
限制可以通过哪些域名访问管理端。填写后点击「保存」生效。
3 管理端 SSL
为管理端开启 HTTPS 访问。
- 启用 SSL:开启后管理端支持 HTTPS。
- 仅 HTTPS:强制管理端只允许 HTTPS 访问。
- 证书状态:显示是否已上传证书,以及证书域名、到期时间。
- 证书内容 / 私钥:粘贴 PEM 格式的证书与私钥;也可点击「从证书夹选择」一次性复制,或「上传证书」保存。
- 绑定证书夹证书:绑定后自动同步——证书夹中的证书更新时,管理端证书随之更新;可随时解绑。
- 重启管理端:修改 SSL 相关设置后,点击「重启管理端」使其生效。
4 安全路径入口
为管理端增加一段「安全码」前缀路径,隐藏后台入口。开启后,所有访问都需要带上该前缀:http(s)://host:port/{安全码}/...。
注意
安全路径作用于整个 HTTP 服务的所有请求,因此不仅是管理界面——WebSocket(/api/v1/ws)、开放平台 API、任何 /api/v1/... 调用都需要改为带前缀的 URL。
- 打开「启用」开关并填写自定义安全码;自定义安全码留空保存时,后端会自动生成 18 位随机码。
- 保存后页面会显示完整访问 URL,可「复制 URL」「打开」或「重新生成」访问码。
5 通知标题前缀
设置通知消息的标题前缀,便于在多台 SamWaf 节点的告警中区分来源。填写后点击「保存」。
6 管理端可信代理网段
当 SamWaf 管理端部署在反向代理(如 Nginx)之后时,用于告诉 SamWaf 哪些直连来源是可信代理,从而正确识别真实客户端 IP。
- 作用:仅当管理请求的直连来源 IP 落在此网段内,才采信请求头中的
X-Forwarded-For/X-Real-IP来识别真实客户端;否则一律使用网络层直连 IP。可防止攻击者伪造代理头绕过 IP 白名单或登录锁定。 - 填写:CIDR 或 IP,多个用逗号分隔,如
10.0.0.0/8,192.168.0.0/16。留空 = 不信任任何代理头(默认;直连部署适用)。 - 仅在本机位于反向代理之后时才需要设置。
注意
配置存于 conf/config.yml。若因此被 IP 白名单挡在门外,可直接编辑该文件后重启自救。
7 CORS 跨域白名单
控制允许跨域(CORS)访问管理接口的来源,防止任意网站携带凭证对管理接口发起跨域请求。
- 作用:回环 / 本机来源(
127.0.0.1、localhost)始终放行,因此本机访问与本地开发无需设置;此处仅需填写异地部署的前端来源。留空 = 仅放行回环。 - 填写:来源地址,多个用逗号分隔,如
https://waf.example.com,http://192.168.1.10:8080。 - 同源访问(前端与管理端同域名同端口)不涉及跨域,无需设置。
注意
配置存于 conf/config.yml。若跨域配置错误导致(异地)前端连不上,可直接编辑该文件后重启自救。
