配置攻击惩罚标准自动封禁访问者指定时长

前提条件

已添加防护网站或已新增防护策略。

• 云模式-CNAME接入的接入方式参见网站接入WAF（云模式-CNAME接入）章节。
• 云模式-ELB接入的接入方式参见 网站接入WAF（云模式-ELB接入）章节。
• 独享模式的接入方式参见网站接入WAF（独享模式）章节。

约束条件

• Web基础防护、精准访问防护和黑白名单设置支持攻击惩罚功能，当攻击惩罚标准配置完成后，您还需要在Web基础防护、精准访问防护或黑白名单规则中选择攻击惩罚，该功能才能生效。
  

  黑白名单规则中，不支持选择“长时间IP拦截”和“短时间IP拦截”的攻击惩罚。

• 添加或修改防护规则后，规则生效需要等待几分钟。规则生效后，您可以在“防护事件”页面查看防护效果。
• 在配置Cookie或Params恶意请求的攻击惩罚标准前，您需要在域名详情页面设置对应的流量标识。相关操作请参见配置攻击惩罚的流量标识。

规格限制

• WAF支持设置6种拦截类型，每个拦截类型只能设置一条攻击惩罚标准。
• 最大拦截时长为30分钟。

操作步骤

1. 登录管理控制台。
2. 单击管理控制台左上角的，选择区域或项目。
3. 单击页面左上方的，选择“安全与合规 > Web应用防火墙 WAF”。
4. 在左侧导航树中，选择“防护策略”，进入“防护策略”页面。
5. 单击目标策略名称，进入目标策略的防护配置页面。
6. 选择“攻击惩罚”配置框，用户可根据自己的需要开启或关闭攻击惩罚策略。
   • ：开启状态。
   • ：关闭状态。

7. 在“攻击惩罚”列表的左上方，单击“添加攻击惩罚”。
8. 在弹出的对话框中，添加攻击惩罚标准，参数说明如表1所示。
   图1 添加攻击惩罚
   

   表1 攻击惩罚参数说明

   参数	参数说明	取值样例
   拦截类型	支持以下拦截方式： 长时间IP拦截 短时间IP拦截 长时间Cookie拦截 短时间Cookie拦截 长时间Params拦截 短时间Params拦截 须知： 黑白名单规则中，不支持选择“长时间IP拦截”和“短时间IP拦截”的攻击惩罚。	长时间IP拦截
   拦截时长（秒）	拦截时长需要设置为整数，且设置范围为： 300<长时间拦截时长≤1800 短时间拦截时长≤300	500
   规则描述	可选参数，设置该规则的备注信息。	-

9. 输入完成后，单击“确认”，添加的攻击惩罚标准展示在列表中。

相关操作

• 若需要修改添加的攻击惩罚标准，可单击待修改的攻击惩罚标准所在行的“修改”，修改该标准的拦截时长。
• 若需要删除添加的攻击惩罚标准，可单击待删除的攻击惩罚标准所在行的“删除”，删除该标准。

配置示例-Cookie拦截攻击惩罚

假如防护域名“www.example.com”已接入WAF，访问者IP XXX.XXX.248.195为恶意请求，而您需要对来自该IP地址Cookie标记为jsessionid的访问请求封禁10分钟。您可以参照以下操作步骤验证封禁效果。

1. 在“网站设置”页面，单击“www.example.com”，进入域名基本信息页面。
2. 配置防护域名的Cookie流量标识，即“Session标记”。
   图2 流量标识
   

3. 添加一条拦截时长为600秒的“长时间Cookie拦截”的攻击惩罚标准。
   图3 添加Cookie拦截攻击惩罚
   

4. 开启攻击惩罚。
   图4 攻击惩罚配置框
   

5. 添加一条黑白名单规则，拦截XXX.XXX.248.195，且“攻击惩罚”选择“长时间Cookie拦截”。
   图5 选择攻击惩罚规则
   

6. 清理浏览器缓存，在浏览器中访问“http://www.example.com”页面。

   当XXX.XXX.248.195源IP访问页面时，会被WAF拦截。当WAF检测到来自该源IP的Cookie标记为jsessionid访问请求时，WAF将封禁该访问请求，时长为10分钟。

   图6 WAF拦截攻击请求
   

7. 返回Web应用防火墙管理控制台，在左侧导航树中，单击“防护事件”，进入“防护事件”页面，您可以查看该防护事件。