配置扫描防护规则自动阻断高频攻击

前提条件

约束条件

• 云模式的入门版、标准版，以及云模式-ELB接入不支持该防护规则。
• 添加或修改防护规则后，规则生效需要几分钟。规则生效后，您可以在“防护事件”页面查看防护效果。

配置扫描防护规则

1. 登录管理控制台。
2. 在管理控制台左上角，单击图标，选择区域或项目。
3. 在页面左上方，单击，选择“安全与合规 > Web应用防火墙 WAF”。
4. 在左侧导航栏，单击“防护策略”。
5. 如果您已开通企业项目，在左侧导航栏上方，单击“按企业项目筛选”下拉框，选择您所在的企业项目。完成后，页面将为您展示该企业项目下的相关数据。
6. 单击目标策略名称，进入目标策略的防护配置页面。
7. 选择“扫描防护”配置框，用户可根据自己的需要开启或关闭扫描防护规则。
   • ：开启状态。
   • ：关闭状态。

8. 配置“高频扫描封禁”。
   将短时间内多次触发当前防护对象下基础防护规则的攻击源封禁一段时间。

   1. 单击开启高频扫描封禁。
   2. 选择防护动作：
      • 拦截：发现攻击行为后立即阻断并记录。
      • 仅记录：发现攻击行为后只记录不阻断攻击。
   3. 单击编辑规则信息。

      默认配置：检测时间范围在60秒内，基础防护规则触发大于20次且触发规则大于2条，则封禁1800秒。

      可根据需要调整配置值。

      图1 高频扫描封禁
      

9. 配置“目录遍历防护”。
   将短时间内多次触发当前防护对象下基础防护规则的攻击源封禁一段时间。

   1. 单击开启目录遍历防护。
   2. 选择防护动作：
      • 拦截：发现攻击行为后立即阻断并记录。
      • 仅记录：发现攻击行为后只记录不阻断攻击。
   3. 单击编辑规则信息。

      默认配置：检测时间范围在10秒内，针对当前防护对象请求次数超过50次且404响应码比例超过70%，同时不存在的目录数量超过50个，则封禁1800秒。

      可根据需要调整配置值。

      图2 目录遍历防护
      

防护效果验证

假如已添加域名“www.example.com”，且按照表1的配置取值样例后，可参照以下步骤验证防护效果：

1. 清理浏览器缓存，在浏览器中输入防护域名，测试网站域名是否能正常访问。
   • 不能正常访问，参照网站设置章节重新完成域名接入。
   • 能正常访问，执行2。

2. 清理浏览器缓存，60秒内，连续在浏览器中访问“http://www.example.com”页面20次，正常情况下，该访问被封禁1800秒。
3. 返回Web应用防火墙控制界面，在左侧导航栏，单击“防护事件”，在“防护事件”页面，查看防护域名拦截日志。