文档首页/ Web应用防火墙 WAF/ 用户指南(吉隆坡区域)/ 配置防护策略/ 配置防护规则/ 配置扫描防护规则自动阻断高频攻击
更新时间:2025-09-11 GMT+08:00
查看PDF
分享

配置扫描防护规则自动阻断高频攻击

扫描防护模块通过识别扫描行为和扫描器特征,阻止攻击者或扫描器对网站的大规模扫描行为,自动阻断高频Web攻击、高频目录遍历攻击,并封禁攻击源IP一段时间,帮助Web业务降低被入侵的风险并减少扫描带来的垃圾流量。

  • “高频扫描封禁”:将短时间内多次触发当前防护对象下基础防护规则的攻击源封禁一段时间。
  • “目录遍历防护”:将短时间内访问当前防护对象下大量且不存在(返回404)目录的攻击源拉黑一段时间。

前提条件

已添加防护网站或已新增防护策略

约束条件

  • 添加或修改防护规则后,规则生效需要几分钟。规则生效后,您可以在“防护事件”页面查看防护效果。

配置扫描防护规则

  1. 登录管理控制台,在页面左上方,单击图标,选择安全 > Web应用防火墙 WAF
  2. 在控制台左上角,单击图标,选择区域或项目。
  3. 在左侧导航栏,单击“防护策略”
  4. 单击目标策略名称,进入目标策略的防护规则配置页面。

    在配置防护规则前,请确认目标防护策略已绑定防护域名,即绑定策略生效目标。一条防护策略可以适用于多个防护域名,但一个防护域名只能绑定一个防护策略。

  5. 单击“扫描防护”配置框,开启扫描防护规则。

    :开启状态。

  6. 配置“高频扫描封禁”,将短时间内多次触发当前防护对象下基础防护规则的攻击源封禁一段时间。

    1. 单击开启高频扫描封禁。

      开启后,高频扫描封禁默认“防护动作”“仅记录”,规则配置为:检测时间范围在60秒内,基础防护规则触发大于20次且触发规则大于2条,则封禁1800秒。

      您可以根据实际业务情况,配置防护动作规则信息

    2. 配置防护动作:
      • 拦截:发现攻击行为后立即阻断并记录。
      • 仅记录:发现攻击行为后只记录不阻断攻击。
    3. 单击“规则信息”后的,编辑规则信息。
      • 检测时间范围内(秒):输入值必须在5到1,800之间。
      • 基础防护规则触发数大于(次):输入值必须在1到50,000之间。
      • 触发规则数大于(条):输入值必须在0到50之间。
      • 封禁IP时间(秒):输入值必须在60到86,400之间。

      完成设置后,也可以单击“恢复默认值”,一键回复默认规则配置。

  7. 配置“目录遍历防护”,将短时间内访问当前防护对象下大量且不存在(返回404)目录的攻击源拉黑一段时间。

    1. 单击开启目录遍历防护。

      开启后,目录遍历防护默认“防护动作”“仅记录”,规则配置为:检测时间范围在10秒内,针对当前防护对象请求次数超过50次且404响应码比例超过70%,同时不存在的目录数量超过50个,则封禁时间1800秒。

      您可以根据实际业务情况,配置防护动作规则信息

    2. 配置防护动作:
      • 拦截:发现攻击行为后立即阻断并记录。
      • 仅记录:发现攻击行为后只记录不阻断攻击。
    3. 单击“规则信息”后的,编辑规则信息。
      • 检测时间范围内(秒):输入值必须在5到1,800之间。
      • 针对当前防护对象请求次数超过(次):输入值必须在2到50,000之间。。
      • 404响应码占比超过(%):输入值必须在1到100之间。
      • 不存在的目录数量超过(个):输入值必须在2到50,000之间。
      • 封禁IP时间(秒):输入值必须在60到86,400之间。

      完成设置后,也可以单击“恢复默认值”,一键回复默认规则配置。

父主题: 配置防护规则