網(wǎng)站接入Web應(yīng)用防火墻后,您可以為其開啟掃描防護(hù)功能。掃描防護(hù)幫助網(wǎng)站自動阻斷包含指定特征的訪問請求,例如請求源IP在短期內(nèi)發(fā)起多次Web攻擊或目錄遍歷攻擊、請求源IP來自常見掃描工具或阿里云惡意掃描攻擊IP庫。

前提條件

  • 已開通Web應(yīng)用防火墻實(shí)例,且實(shí)例滿足以下要求:
    • 包年包月實(shí)例:實(shí)例版本是高級版及以上規(guī)格。
      重要 高級版實(shí)例只支持使用默認(rèn)掃描防護(hù)策略,不支持自定義掃描防護(hù)策略。如需自定義高頻Web攻擊封禁目錄遍歷防護(hù)的防護(hù)策略,則實(shí)例版本必須是企業(yè)版及以上規(guī)格。
    • 按量計費(fèi)實(shí)例:已在賬單與套餐中心,開啟Web入侵防護(hù)模塊下自定義掃描防護(hù)功能。

      更多信息,請參見賬單與套餐中心(按量2.0版本)

      按量2.0-自定義掃描防護(hù)
  • 已完成網(wǎng)站接入。具體操作,請參見使用教程

背景信息

掃描防護(hù)功能包括以下防護(hù)策略:

  • 高頻Web攻擊封禁:自動封禁在短時間內(nèi)發(fā)起多次Web攻擊的客戶端IP。支持自定義防護(hù)策略。封禁期間支持手動解封。
  • 目錄遍歷防護(hù):自動封禁在短時間內(nèi)發(fā)起多次目錄遍歷攻擊的客戶端IP。支持自定義防護(hù)策略。封禁期間支持手動解封。
  • 掃描工具封禁:自動阻斷常見掃描工具IP的訪問請求。支持封禁的掃描工具包括Sqlmap、AWVS、Nessus、Appscan、Webinspect、Netsparker、Nikto、Rsas等。
  • 協(xié)同防御:自動阻斷阿里云全球惡意掃描攻擊IP庫中IP的訪問請求。

操作步驟

  1. 登錄Web應(yīng)用防火墻控制臺
  2. 在頂部菜單欄,選擇Web應(yīng)用防火墻實(shí)例的資源組和地域(中國內(nèi)地非中國內(nèi)地)。
  3. 在左側(cè)導(dǎo)航欄,選擇防護(hù)配置 > 網(wǎng)站防護(hù)
  4. 網(wǎng)站防護(hù)頁面上方,切換到要設(shè)置的域名。切換域名
  5. 單擊訪問控制/限流頁簽,定位到掃描防護(hù)區(qū)域,完成以下功能配置。掃描防護(hù)
    說明 掃描防護(hù)下任意功能開啟后,所有網(wǎng)站請求默認(rèn)都會經(jīng)過掃描防護(hù)的檢測。您可以通過設(shè)置訪問控制/限流白名單,讓滿足條件的請求忽略掃描防護(hù)的檢測。更多信息,請參見設(shè)置訪問控制/限流白名單
    • 高頻Web攻擊封禁:開啟或關(guān)閉高頻Web攻擊封禁。
      配置高頻Web攻擊封禁的防護(hù)策略
      1. 開啟高頻Web攻擊封禁。
      2. 單擊前去配置
      3. 規(guī)則設(shè)置對話框,配置以下參數(shù):檢測時間范圍(秒)、Web攻擊次數(shù)超過(次)、封禁IP(秒)。 規(guī)則設(shè)置

        規(guī)則釋義:如果某個客戶端IP在指定的檢測時間范圍內(nèi)發(fā)起的Web攻擊次數(shù)超過指定數(shù)量,則在指定的封禁IP時長內(nèi)阻斷該IP的訪問請求。

        說明 建議您使用設(shè)置參考,單擊選擇一種內(nèi)置的配置模式(寬松模式嚴(yán)格模式正常模式),并在此基礎(chǔ)上進(jìn)行調(diào)整。
      4. 單擊確定

      解除當(dāng)前封禁IP:單擊解封當(dāng)前封禁IP,直接解除由該功能封禁的IP。

    • 目錄遍歷防護(hù):開啟或關(guān)閉目錄遍歷防護(hù)。
      配置目錄遍歷防護(hù)的防護(hù)策略
      1. 開啟目錄遍歷防護(hù)。
      2. 單擊前去配置
      3. 規(guī)則設(shè)置對話框,配置以下參數(shù):檢測時間范圍(秒)、請求總次數(shù)超過(次)、且404響應(yīng)碼占比超過(%)、封禁IP(秒)、目錄數(shù)量規(guī)則設(shè)置

        規(guī)則釋義:如果某個客戶端IP在指定的檢測時間范圍內(nèi)發(fā)起的請求總次數(shù)超過指定數(shù)量且404響應(yīng)碼占比超過指定比例,且在指定的檢測時間范圍內(nèi)請求訪問的目錄數(shù)量超過指定值,則在指定的封禁IP時長內(nèi)阻斷該IP的訪問請求。

        說明 建議您使用設(shè)置參考,單擊選擇一種內(nèi)置的配置模式(寬松模式嚴(yán)格模式正常模式),并在此基礎(chǔ)上進(jìn)行調(diào)整。
      4. 單擊確定

      解除當(dāng)前封禁IP:單擊解封當(dāng)前封禁IP,直接解除由該功能封禁的IP。

    • 掃描工具封禁:開啟或關(guān)閉掃描工具封禁。

      開啟后,智能識別常見的掃描工具行為。如果訪問行為滿足掃描特征,將一直阻斷其訪問請求。關(guān)閉后,將不再攔截掃描行為。

    • 協(xié)同防御:開啟或關(guān)閉協(xié)同防御。

      開啟后,自動阻斷來自阿里云全球惡意掃描攻擊IP庫中IP的訪問請求。