配置扫描防护规则自动阻断高频攻击
扫描防护模块通过识别扫描行为和扫描器特征,阻止攻击者或扫描器对网站的大规模扫描行为,自动阻断高频Web攻击、高频目录遍历攻击,并封禁攻击源IP一段时间,帮助Web业务降低被入侵的风险并减少扫描带来的垃圾流量。
- “高频扫描封禁”:将短时间内多次触发当前防护对象下基础防护规则的攻击源封禁一段时间。
- “目录遍历防护”:将短时间内访问当前防护对象下大量且不存在(返回404)目录的攻击源拉黑一段时间。
前提条件
- 云模式-CNAME接入的接入方式参见将网站接入WAF防护(云模式-CNAME接入)章节。
- 独享模式的接入方式参见将网站接入WAF防护(独享模式)章节。
约束条件
- 云模式的入门版、标准版,以及云模式-ELB接入不支持该防护规则。
- 添加或修改防护规则后,规则生效需要几分钟。规则生效后,您可以在“防护事件”页面查看防护效果。
配置扫描防护规则
- 登录管理控制台。
- 单击管理控制台左上角的,选择区域或项目。
- 单击页面左上方的,选择 。
- 在左侧导航树中,选择“防护策略”,进入“防护策略”页面。
- 单击目标策略名称,进入目标策略的防护配置页面。
- 选择“扫描防护”配置框,用户可根据自己的需要开启或关闭扫描防护规则。
- :开启状态。
- :关闭状态。
- 配置“高频扫描封禁”。
将短时间内多次触发当前防护对象下基础防护规则的攻击源封禁一段时间。
- 单击开启高频扫描封禁。
- 选择防护动作:
- 拦截:发现攻击行为后立即阻断并记录。
- 仅记录:发现攻击行为后只记录不阻断攻击。
- 单击编辑规则信息。
默认配置:检测时间范围在60秒内,基础防护规则触发大于20次且触发规则大于2条,则封禁1800秒。
可根据需要调整配置值。
图1 高频扫描封禁
- 配置“目录遍历防护”。
将短时间内多次触发当前防护对象下基础防护规则的攻击源封禁一段时间。
- 单击开启目录遍历防护。
- 选择防护动作:
- 拦截:发现攻击行为后立即阻断并记录。
- 仅记录:发现攻击行为后只记录不阻断攻击。
- 单击编辑规则信息。
默认配置:检测时间范围在10秒内,针对当前防护对象请求次数超过50次且404响应码比例超过70%,同时不存在的目录数量超过50个,则封禁1800秒。
可根据需要调整配置值。
图2 目录遍历防护