文档首页/ Web应用防火墙 WAF/ 用户指南/ 配置防护策略/ 配置防护规则/ 配置扫描防护规则自动阻断高频攻击
更新时间:2025-08-26 GMT+08:00
查看PDF
分享

配置扫描防护规则自动阻断高频攻击

扫描防护模块通过识别扫描行为和扫描器特征,阻止攻击者或扫描器对网站的大规模扫描行为,自动阻断高频Web攻击、高频目录遍历攻击,并封禁攻击源IP一段时间,帮助Web业务降低被入侵的风险并减少扫描带来的垃圾流量。

  • “高频扫描封禁”:将短时间内多次触发当前防护对象下基础防护规则的攻击源封禁一段时间。
  • “目录遍历防护”:将短时间内访问当前防护对象下大量且不存在(返回404)目录的攻击源拉黑一段时间。

前提条件

已添加防护网站或已新增防护策略

约束条件

  • 云模式的入门版、标准版,以及云模式-ELB接入不支持该防护规则。
  • 添加或修改防护规则后,规则生效需要几分钟。规则生效后,您可以在“防护事件”页面查看防护效果。

配置扫描防护规则

  1. 登录Web应用防火墙控制台
  2. 在控制台左上角,单击图标,选择区域或项目。
  3. (可选) 如果您已开通企业项目,在左侧导航栏上方,单击“按企业项目筛选”下拉框,选择您所在的企业项目。完成后,页面将为您展示该企业项目下的相关数据。
  4. 在左侧导航栏,单击“防护策略”
  5. 单击目标策略名称,进入目标策略的防护规则配置页面。

    在配置防护规则前,请确认目标防护策略已绑定防护域名,即绑定策略生效目标。一条防护策略可以适用于多个防护域名,但一个防护域名只能绑定一个防护策略。

  6. 单击“扫描防护”配置框,开启扫描防护规则。

    :开启状态。

  7. 配置“高频扫描封禁”,将短时间内多次触发当前防护对象下基础防护规则的攻击源封禁一段时间。

    图1 高频扫描封禁
    1. 单击开启高频扫描封禁。

      开启后,高频扫描封禁默认“防护动作”“仅记录”,规则配置为:检测时间范围在60秒内,基础防护规则触发大于20次且触发规则大于2条,则封禁1800秒。

      您可以根据实际业务情况,配置防护动作规则信息

    2. 配置防护动作:
      • 拦截:发现攻击行为后立即阻断并记录。
      • 仅记录:发现攻击行为后只记录不阻断攻击。
    3. 单击“规则信息”后的,编辑规则信息。
      • 检测时间范围内(秒):输入值必须在5到1,800之间。
      • 基础防护规则触发数大于(次):输入值必须在1到50,000之间。
      • 触发规则数大于(条):输入值必须在0到50之间。
      • 封禁IP时间(秒):输入值必须在60到86,400之间。

      完成设置后,也可以单击“恢复默认值”,一键回复默认规则配置。

  8. 配置“目录遍历防护”,将短时间内多次触发当前防护对象下基础防护规则的攻击源封禁一段时间。

    1. 单击开启目录遍历防护。
      图2 目录遍历防护

      开启后,目录遍历防护默认“防护动作”“仅记录”,规则配置为:检测时间范围在10秒内,针对当前防护对象请求次数超过50次且404响应码比例超过70%,同时不存在的目录数量超过50个,则封禁时间1800秒。

      您可以根据实际业务情况,配置防护动作规则信息

    2. 配置防护动作:
      • 拦截:发现攻击行为后立即阻断并记录。
      • 仅记录:发现攻击行为后只记录不阻断攻击。
    3. 单击“规则信息”后的,编辑规则信息。
      • 检测时间范围内(秒):输入值必须在5到1,800之间。
      • 针对当前防护对象请求次数超过(次):输入值必须在2到50,000之间。。
      • 404响应码占比超过(%):输入值必须在1到100之间。
      • 不存在的目录数量超过(个):输入值必须在2到50,000之间。
      • 封禁IP时间(秒):输入值必须在60到86,400之间。

      完成设置后,也可以单击“恢复默认值”,一键回复默认规则配置。

一键解封高频扫描封禁和目录遍历防护

一键解封高频扫描封禁和目录遍历防护模块已封禁的IP,仅解封当前策略下已经触发IP封禁的IP地址,不影响后续防护规则对IP的封禁。

  1. 登录Web应用防火墙控制台
  2. 在控制台左上角,单击图标,选择区域或项目。
  3. (可选) 如果您已开通企业项目,在左侧导航栏上方,单击“按企业项目筛选”下拉框,选择您所在的企业项目。完成后,页面将为您展示该企业项目下的相关数据。
  4. 在左侧导航栏,单击“防护策略”
  5. “防护配置”页签,单击“扫描防护”配置框,在扫描防护列表右上角,单击“一键解封”

    该操作将解封当前策略下触发IP封禁的所有IP地址。如果IP地址再次触发扫描防护规则,则依旧会按照规则被封禁一段时间。

  6. 确认解封后,在“一键解封”对话框,单击“确定”

    完成以上操作后,WAF将解封当前策略下触发IP封禁的所有IP地址。

    您还可以执行以下操作:

    • 查看规则状态:在防护规则列表,查看已添加的规则。此时,“规则状态”默认为“已开启”
    • 关闭规则:如果您暂时不想使该规则生效,可在目标规则“操作”列,单击“关闭”
    • 删除或修改规则:您也可以在目标规则“操作”列,单击“删除”“修改”,删除或修改已添加的防护规则。
    • 验证防护效果
      1. 清理浏览器缓存,60秒内,连续在浏览器中访问“http://www.example.com”页面20次,正常情况下,该访问被封禁1800秒。
      2. “防护事件”页面,查看防护日志。

父主题: 配置防护规则

相关文档