更新时间:2024-11-19 GMT+08:00
配置攻击惩罚标准封禁访问者指定时长
当访问者的IP、Cookie或Params恶意请求被WAF拦截时,您可以通过配置攻击惩罚,使WAF按配置的攻击惩罚时长来自动封禁访问者。例如,访问者的源IP(192.168.1.1)为恶意请求,如果您配置了IP攻击惩罚拦截时长为500秒,该攻击惩罚生效后,则该IP被WAF拦截时,WAF将封禁该IP,时长为500秒。
配置的攻击惩罚标准规则会同步给Web基础防护规则、精准访问防护规则和IP黑白名单等规则使用。当配置Web基础防护规则、精准访问防护规则和IP黑白名单规则时,防护动作为“拦截”或“阻断”时,可使用攻击惩罚标准功能。
如果您已开通企业项目,您需要在“企业项目”下拉列表中选择您所在的企业项目并确保已开通操作权限,才能为该企业项目下域名配置防护策略。
前提条件
- 已添加防护网站或已新增防护策略。
- 云模式-CNAME接入的接入方式参见将网站接入WAF防护(云模式-CNAME接入)章节。
- 云模式-ELB接入的接入方式参见 将网站接入WAF防护(云模式-ELB接入)章节。
- 独享模式的接入方式参见将网站接入WAF防护(独享模式)章节。
- 如果使用独享WAF,确保独享引擎已升级到最新版本,具体的操作请参见升级独享引擎实例。
约束条件
- Web基础防护、精准访问防护和黑白名单设置支持攻击惩罚功能,当攻击惩罚标准配置完成后,您还需要在Web基础防护、精准访问防护或黑白名单规则中选择攻击惩罚,该功能才能生效。
黑白名单规则中,不支持选择“长时间IP拦截”和“短时间IP拦截”的攻击惩罚。
- 在配置Cookie或Params恶意请求的攻击惩罚标准前,您需要在域名详情页面设置对应的流量标识。相关操作请参见配置攻击惩罚的流量标识。
- 添加或修改防护规则后,规则生效需要等待几分钟。规则生效后,您可以在“防护事件”页面查看防护效果。
规格限制
- WAF支持设置6种拦截类型,每个拦截类型只能设置一条攻击惩罚标准。
- 最大拦截时长为30分钟。
配置攻击惩罚标准
相关操作
- 如果需要修改添加的攻击惩罚标准,可单击待修改的攻击惩罚标准所在行的“修改”,修改该标准的拦截时长。
- 如果需要删除添加的攻击惩罚标准,可单击待删除的攻击惩罚标准所在行的“删除”,删除该标准。
配置示例-Cookie拦截攻击惩罚
假如防护域名“www.example.com”已接入WAF,访问者IP XXX.XXX.248.195为恶意请求,而您需要对来自该IP地址Cookie标记为jsessionid的访问请求封禁10分钟。您可以参照以下操作步骤验证封禁效果。
- 在“网站设置”页面,单击“www.example.com”,进入域名基本信息页面。
- 配置防护域名的Cookie流量标识,即“Session标记”。
图2 流量标识
- 添加一条拦截时长为600秒的“长时间Cookie拦截”的攻击惩罚标准。
图3 添加Cookie拦截攻击惩罚
- 开启攻击惩罚。
图4 攻击惩罚配置框
- 添加一条黑白名单规则,拦截XXX.XXX.248.195,且“攻击惩罚”选择“长时间Cookie拦截”。
图5 选择攻击惩罚规则
- 清理浏览器缓存,在浏览器中访问“http://www.example.com”页面。
当XXX.XXX.248.195源IP访问页面时,会被WAF拦截。当WAF检测到来自该源IP的Cookie标记为jsessionid访问请求时,WAF将封禁该访问请求,时长为10分钟。
图6 WAF拦截攻击请求
- 返回Web应用防火墙管理控制台,在左侧导航树中,单击“防护事件”,进入“防护事件”页面,您可以查看该防护事件。