白名單（white list）是一種計算機網絡安全機制，用于限制允許訪問或授權成員資格的實體列表，同時拒絕所有其他實體 訪問請求。它在計算機保護中起著重要的作用，有助于防止潛在的威脅和不良內容，提高網絡和計算機系統的安全性。根據白名單中實體的類型，白名單可以分為資產白名單、防火墻白名單、應用程序白名單、用戶白名單、行為白名單、電子郵件白名單等。和與白名單相對的黑名單（blacklist），除了黑名單中的實體沒有訪問權限，其他實體都允許訪問。

白名單

在更廣泛的語義中，白名單可以代表一個授權、被認可或信任并被認為具有某種條件或品質的人的名單、組織、產品或服務。這樣的列表允許或推薦特定的實體或事物來執行特定的活動、參與特定領域或接受特定待遇，適用于各種場景，比如政府機關、政府政策、商業合作等。

根據不同的應用場景，白名單技術可以應用在不同的領域。在網絡安全應用場景中，可以分為資產白名單、防火墻白名單和郵件白名單，其中防火墻白名單又分為IP地址白名單、域名白名單、URL白名單等；在軟件應用場景中，白名單可以用來指定允許訪問的程序、文件、文件夾等；在數據庫應用場景中，白名單可以用來指定允許訪問數據庫的用戶或IP地址。

資產

在工業控制領域，資產白名單是一種重要的安全措施，用于識別和管理工業控制系統（ICS）網絡中的設備和資產。在ICS網絡中，許多攻擊或意外傷害都是由非法訪問其他設備引起的。為了解決這一問題，我們可以使用自動網絡掃描工具或手動方式快速獲取ICS中已知設備的列表，還可以使用工業安全檢測設備檢測設備中已知和未知的漏洞和后門，從而全面掌握設備的安全性。

防火墻

防火墻白名單是一種基于白名單技術的過濾機制，用于控制網絡流量和數據包的訪問權限，以確保只有授權的應用和IP地址才能訪問網絡或系統資源，從而提高安全性，降低潛在的攻擊風險。

防火墻白名單的規則表是為特定的應用程序或協議定義的。例如，例如，工業控制網絡中使用的Modbus TCP協議，這些規則可能包括多個數據特征，例如源IP地址、目標IP地址、源MAC地址、目標MAC地址、協議標識符、端口號、線圈或寄存器的功能代碼和地址范圍等。

通過防火墻白名單，管理員可以確保只有授權的應用程序和IP地址才能訪問網絡或系統資源，從而提高安全性并降低潛在的攻擊風險。

域名

域名白名單用于限制對特定域名的訪問。管理員將白名單文件放在網站的根目錄中，并使用特定的名稱（White domain）命名，以確保只有包含在白名單中的域名或IP地址才能訪問網站的指定路徑。

IP地址

IP地址白名單用于限制對特定IP地址或IP地址范圍的訪問。管理員可以設置白名單規則，只允許列表中或范圍內的IP地址進行通信，而拒絕其他IP地址的訪問。

URL

URL白名單用于限制對特定URL地址或URL地址模式的訪問。管理員可以配置URL白名單規則，確保只有符合規則的URL才能訪問網絡或系統資源，其他URL禁止訪問。

例如，假設一家公司只允許員工訪問www.exle.您需要在URL過濾配置文件中配置以下兩項。

電子郵件

電子郵件白名單是一種過濾算法，通常用于處理新到的郵件該算法首先查看發送者 郵件頭中的s地址，并且會完整接收地址在白名單中的郵件，而直接拒絕地址在黑名單中的郵件。

在電子郵件過濾技術中，基于樣本檢測和規則匹配的原理，過濾技術可以分為規則過濾、協同過濾和地址列表過濾。規則過濾技術通過設置匹配規則實現過濾雖然能有效阻止垃圾郵件，但誤判率高，容易受干擾信息影響。統計過濾是規則過濾技術的升級通過使用統計規律計算垃圾郵件附加特征的可能性來判別郵件的合法性，該方法誤判率低。通訊錄過濾技術是根據建立的黑名單和白名單來判斷是否接收郵件黑名單包含已知垃圾郵件發送者的IP地址或電子郵件地址，而白名單包含可信發送者的IP地址或電子郵件地址。

白名單算法的優點是簡單明了，但是有兩個缺點：第一，設置黑白名單時要準確，否則可能導致誤判；二是需要不斷更新維護，通常無法覆蓋所有情況，所以白名單算法的過濾效率不高，只能過濾掉50個以內%的垃圾郵件。

程序

應用程序白名單（Application   Whitelist,  AWL）是防止未經授權的應用程序運行的安全措施，它包含一個應用程序列表，其中允許應用程序在系統中不受控制地運行。

傳統殺毒軟件的病毒庫通常是黑名單，即隔離或清除已知的惡意軟件。然而，這種方法只能抵御已知的威脅和病毒，但它可以 不能為新的未知威脅提供足夠的保護，所謂的“零日”漏洞攻擊。另外，隨著已知病毒和木馬的增加，這將導致黑名單的無限擴大，然后電腦在安裝殺毒軟件后會變得相對緩慢。應用程序白名單僅允許預授權的應用程序執行和運行，這有效地防止了“零日”漏洞攻擊從系統應用的層面保證了系統的安全性。

在特定的應用場景下，為了保證業務系統的正常運行，需要對所有需要的軟件和應用進行統計，并進行詳細的代碼審計、安全測試和分析。此外，還可以應用完整性檢查方法，常見的方法是使用hash值進行驗證，以確保應用已經過認證，是安全的。

行為

行為白名單是一種重要的安全措施，類似于資產白名單它記錄了應用程序的每一個行為，并通過清晰的定義將正常的商業行為與惡意或無關的行為區分開來。

行為白名單比基于應用程序或基于設備的資產白名單粒度更細、更適合商業的定義。行為白名單系統可以基于網絡行為進行區分，并將它與預定義的授權命令行為白名單進行比較，以便這些惡意操作和行為可以很容易地被發現并通知給管理者或直接阻止，或基于工業操作信息、檢測工業控制操作流程信息，其中工業控制操作信息包括工業控制協議應用層的網絡數據包，通常包括操作碼、訪問地址和 數據信息，而工控操作流程信息主要體現在工控流量數據包的時間和順序上。

用戶

用戶白名單是一種重要的安全措施，用于識別和管理系統中用戶的身份和權限。它在發現潛在威脅方面發揮作用，特別是對于一般用戶和管理員的活動。很多滲透攻擊都是在獲取了具有一定權限的用戶或管理員賬號后的惡意行為例如，攻擊者可能直接濫用管理員帳戶，或者利用管理員帳戶提升其他惡意帳戶的權限，使其擁有與管理員相同的權力。

使用用戶白名單管理意味著在系統中引入額外的權限管理措施因為用戶白名單具有獨立于系統的技術實現 的用戶管理措施，其規則強度相當于甚至高于系統 自己的用戶權限，相當于在系統之外加了一道防線，可以自動實現一些審計控制功能。結合黑名單規則，可以實現對 IP 的非授權訪問、合法用戶對密鑰服務器的非法訪問、對服務器非法互聯等異常業務流程違規行為進行監控和報警，確保系統安全。

比如使用開源數據庫防火墻DBProxy進行IP地址過濾就是一個功能，允許用戶限制連接DBProxy的用戶的IP地址。DBProxy系統提供了白名單功能，也就是說，在'用戶'在下配置的主機的白名單。此外，每個用戶還可以在其用戶名下配置一個私有白名單。

SQL命令

SQL命令白名單是授權的SQL命令的列表只有這個列表中列出的命令可以在數據庫中執行，其他未列出的命令將被阻止或拒絕執行。它可以有效地防止未經授權的命令對數據庫造成意外或惡意的影響。

比如在阿里云原生數據庫的PolarDB控制臺中，添加、啟用或禁用白名單規則。因為實際業務中可能會用到很多SQL語句，所以輸入一條SQL語句會相當耗時Proxy提供了三種白名單模式來提高工作效率和體驗，即培訓模式、檢查模式和保護模式。其中，在訓練模式下，Proxy只收集SQL語句，不攔截和告警SQL語句；在檢查模式下，當檢測到不包括在白名單中的SQL語句時，只記錄SQL攔截；在保護模式下，當檢測到不包括在白名單中的SQL語句時，該SQL將被攔截并記錄。

白名單的工作原理是基于一種篩選機制，通過驗證某個實體是否在預定義的白名單中，來決定是否允許該實體執行特定的操作或訪問資源。

具體來說，白名單是基于定義外部可信主機的IP地址和應用協議的列表來實現的。白名單通常存儲在兩個部分中：第一部分是不允許協議分析的可信主機，同時可以附加TCP/UDP端口號作為約束。第二部分是允許某些應用程序協議的可信主機。

當數據包的狀態檢測處理完成時，系統首先檢查數據包是否在白名單的第一部分。如果是，系統會直接讓其通過。否則，系統將繼續協議分析操作。

進入協議分析階段后，系統會將雙方的地址和應用協議與白名單的第二部分進行比對。通常需要檢查會話的前幾個數據包，以確定所使用的應用協議。因此，前一個數據包將根據未知協議進行處理。對于一個已知的協議，系統只匹配與該協議相關的特征庫；對于未知協議，系統將匹配所有特征庫。

白名單的匹配過程沒有包過濾規則處理中的順序要求那么嚴格。因此，可以采用類似于在狀態檢測中使用的散列算法來提高處理速度。該方法可以加快白名單的匹配過程，提高系統對訪問請求的響應效率。

技術優勢

更高的安全性

白名單技術只限制授權軟件、工具和流程可以在系統上運行，提供更高的安全性。默認情況下，任何未經批準的應用程序都將被拒絕運行，這有助于抵御各種攻擊，包括“零日”漏洞攻擊和目標攻擊。

提供實時警示

白名單可以檢測到用戶在終端上意外安裝惡意程序或文件的非法行為，并及時報警，使安全人員能夠立即采取行動，防止潛在的安全風險。

提高工作效率和系統性能

通過防止未經授權的應用程序和惡意軟件在系統中運行，白名單技術可以保持系統以最佳性能運行。例如，當支持人員收到用戶 對系統運行緩慢的投訴，他們可以調查并發現惡意軟件正在占用內存和處理器資源，以便他們可以立即采取行動解決問題。在工業企業的生產業務中，白名單保證了工業生產網絡的可用性和實時性，系統資源開銷低，不會影響工控軟件的正常運行。

提供全面的系統可見性

白名單技術可以提供關于正在運行的應用程序的信息、工具和流程的全面可見性如果同一個未經授權的程序試圖在多個端點上運行，這些數據可以用來跟蹤攻擊者 并幫助識別和處理潛在的威脅。

抵御高級內存注入攻擊

白名單技術可以驗證所有在內存中運行的授權進程，并確保它們在運行時不被修改，這有助于防止高級內存注入攻擊，保護系統不被利用內存漏洞。

局限性

很難防止內部威脅

雖然白名單技術可以限制僅授權應用的執行，但仍然存在安全風險。即使一些IP地址、端口和功能代碼是授權的，并且仍然可能被惡意用戶用來發送非法交易、轉換非法協議的數據或傳播病毒等，這些風險是白名單技術本身無法解決的。

維護更新困難

保持白名單的有效性需要經常維護和更新。準備初始白名單需要詳細了解用戶任務和所需的應用程序，這可能需要大量的工作。然而，當系統中頻繁替換或添加應用程序時，維護白名單可能變得復雜且耗時。此外，無法完全排除未知或白名單中的對象，這可能會導致誤判，阻止合法應用程序運行。

限制性較高

白名單技術對應用的執行有很高的限制，只有明確授權的應用才允許運行，這可能在一定程度上限制了用戶的靈活性和自由度。在某些情況下，合法但未經授權的應用程序可能會被錯誤地視為不可信，從而導致它們受到限制。

技術難點

安全問題

由于白名單是基于已知可信主機和應用協議的列表，如果黑客或惡意用戶能夠篡改或偽造白名單數據，就有可能繞過安全軟件的檢測，進而訪問系統或網絡資源。因此，保證白名單的完整性和可信性對于保護系統安全是非常重要的。

隱私保護

維護白名單需要及時收集、驗證并添加新的可信主機和應用程序協議信息，并刪除不再可信或有安全風險的項目。這一過程需要確保數據的可靠來源，并遵循適當的數據保護和隱私政策，以確保用戶信息的安全和保密。

維護和更新

白名單技術的關鍵是建立完整的、準確的白名單軟件數據庫。然而，全球軟件數以億計，列入白名單的軟件數量遠少于此，導致用戶在安裝白名單之外的軟件時，遭受安全軟件的誤報。高的誤報率給用戶帶來了不便和麻煩。此外，由于互聯網上每周都有大量新的軟件版本和全新的應用和游戲發布，因此及時更新白名單非常重要。傳統的人工樣本采集方式難以處理海量的軟件樣本，因此需要搜索引擎軟件開放平臺等現代互聯網技術來提高樣本采集的效率和全面性。

與黑名單比較

與白名單的概念相反，黑名單是指禁止使用某些軟件或文件類型的列表。它限制了可用的選項，并允許使用除黑名單以外的所有內容。黑名單的作用是排除不安全或不可信的元素，比如禁止安裝、運行或訪問特定的軟件或文件。

相比之下，白名單意味著只允許使用列出的軟件或文件類型，這限制了可接受的選項，并禁止它們，除非明確列在白名單上。白名單的作用是明確指定哪些軟件或文件是可信的和允許的，而拒絕所有其他的，以確保安全和控制。應用案例

網絡安全

在網絡安全應用場景中，白名單可以用在高級安全的  windows  defender  防火墻中。白名單的目的是只允許經過授權的流量通過防火墻，防止未經授權的流量進出本地設備。

例如，通過配置防火墻的白名單規則，您可以限制只有特定的IP地址或域名可以建立到本地設備的入站連接。這可以有效地防止未經授權的連接嘗試，并提高設備的安全性。此外，白名單可用于限制與外部服務器建立連接的本地設備的流量。只有白名單中列出的目標地址才能連接成功，這樣可以防止設備與有潛在危險的服務器建立聯系，降低被惡意軟件攻擊的風險。

又如，電子郵件白名單是一種確保特定電子郵件收件人或域名永遠不會被視為垃圾郵件的機制。一般用在郵件客戶端，比如 微軟 365 專屬 Outlook、Prospect  2021、Outlook , etc。通過將特定的電子郵件地址或域名添加到“安全發件人列表”，您可以確保您的收件箱總是收到來自這些地址的郵件，并防止它們被錯誤地標記為垃圾郵件。無論郵件內容如何，這些來自安全發件人列表的郵件都被認為是可信的，不會被移到垃圾郵件文件夾。

軟件應用

在軟件應用場景中，白名單用于排除被誤判為惡意的文件、文件類型、文件夾或進程，以確保程序正常運行，同時減少誤報和誤報。

例如，在 系統中，如果用戶對一個文件感興趣、文件類型、一個文件夾或進程是完全可信的，你不 我不想讓 Windows 安全中心提醒它或阻止該程序運行您可以將其添加到排除列表中。這樣告訴 Windows 安全中心，認為它是安全的，不會被進一步檢測和干擾。

數據庫場景

在數據庫應用場景中，白名單用于限制對數據庫的訪問和連接。通過設置白名單，只允許列入白名單的IP地址或網絡范圍與數據庫建立連接和操作，其他未列入白名單的IP地址被拒絕。

比如用戶使用的數據源來自阿里云RDS數據庫，為了保證安全訪問，可以在RDS數據庫配置中添加白名單。