背景信息

前提條件

• 已開通WAF 3.0服務。具體操作，請參見開通包年包月WAF 3.0、開通按量付費WAF 3.0。

• 已將Web業務添加為WAF 3.0的防護對象。具體操作，請參見配置防護對象和防護對象組。

創建掃描防護規則模板

內置一套默認規則模板，規則模板默認啟用，如需啟用自定義規則，必須新建一個規則模板，并配置相關規則。如果您希望創建新掃描防護規則模板，請按照以下步驟進行創建。

1. 登錄Web應用防火墻3.0控制臺。在頂部菜單欄，選擇WAF實例的資源組和地域（中國內地、非中國內地）。

2. 在左側導航欄，選擇防護配置 > Web基礎防護。

3. 在Web基礎防護頁面下方掃描防護區域，單擊新建模板。

   說明

   如果您是第一次新建掃描防護規則模板，您也可以在Web基礎防護頁面上方的掃描防護卡片區域，單擊立即配置。

4. 在新建模板 - 掃描防護面板，完成以下配置，單擊確定。

   配置項	說明
   模板名稱	為該模板設置一個名稱。 長度為1~255個字符，支持中文和大小寫英文字母，可包含數字、半角句號（.）、下劃線（_）和短劃線（-）。
   是否設置為默認模板	選擇是否將該模板設置為當前防護模塊的默認模板。 一個防護模塊只允許設置一個默認模板。默認模板無需設置生效對象，默認應用于所有未關聯到自定義規則模板的防護對象和對象組（包括后續新增、從自定義規則模板中移除的防護對象和對象組）。
   規則配置	設置掃描防護規則。掃描防護規則模板只有一套規則，規則分為以下三個部分： 高頻掃描封禁 開啟該功能后，默認按如下配置生效：某個IP（統計和封禁對象）在60秒（檢測時間范圍）內，觸發當前防護對象下基礎防護規則的次數大于20次（基礎防護規則觸發），并且觸發的不同防護規則的數量大于2個（觸發規則數大于），則將該IP拉入到黑名單1800秒（封禁時間），并按防護規則配置的規則動作處置。 您可以單擊高級設置，修改規則配置： 統計和封禁對象 IP：表示統計同一個客戶端IP發起攻擊的頻率。 會話：表示統計同一個客戶端會話發起攻擊的頻率。 說明 WAF會嘗試在請求響應中，通過setcookie方法插入以acw_tc開頭的Cookie，來標記不同的客戶端會話。 自定義：表示統計具有同樣請求特征的對象發起攻擊的頻率。 您可以通過以下方式指定請求特征： 自定義Header：表示統計包含指定Header的攻擊請求的頻率。 自定義參數：表示統計包含指定參數的攻擊請求的頻率。 自定義Cookie：表示統計包含指定Cookie的攻擊請求的頻率。 規則詳情 支持修改如下參數：檢測時間范圍、基礎防護規則觸發、封禁時間、觸發規則數大于。 目錄遍歷封禁 開啟該功能后，默認按如下配置生效：如果某個IP（統計和封禁對象）在10秒（檢測時間范圍）內，針對當前防護對象的請求次數超過50次（針對當前防護對象請求次數超過）、請求的不存在的目錄數量超過50個（不存在的目錄數量超過），并且請求響應中404響應碼占比超過70%（且404響應碼比例超過），則將該IP拉入到黑名單，并按防護規則配置的規則動作處置。 您可以單擊高級設置，修改規則配置： 統計和封禁對象 IP：表示統計同一個客戶端IP發起攻擊的頻率。 會話：表示統計同一個客戶端會話發起攻擊的頻率。 說明 WAF會嘗試在請求響應中，通過setcookie方法插入以acw_tc開頭的Cookie，來標記不同的客戶端會話。 自定義：表示統計具有同樣請求特征的對象發起攻擊的頻率。 您可以通過以下方式指定請求特征： 自定義Header：表示統計包含指定Header的攻擊請求的頻率。 自定義參數：表示統計包含指定參數的攻擊請求的頻率。 自定義Cookie：表示統計包含指定Cookie的攻擊請求的頻率。 規則詳情 支持修改如下參數：檢測時間范圍、針對當前防護對象請求次數超過、且404響應碼比例超過、封禁時間、不存在的目錄數量超過。 掃描工具封禁： 開啟該功能后，WAF對來自常見掃描工具（例如Sqlmap、AWVS、Nessus、Appscan、Webinspect、Netsparker、Nikto、Rsas等）的請求，按防護規則配置的規則動作處置。
   規則動作	選擇當請求命中該規則時，要執行的防護動作。可選項： 攔截：表示攔截命中規則的請求，并向發起請求的客戶端返回攔截響應頁面。 說明 WAF默認使用統一的攔截響應頁面，您可以通過自定義響應功能，自定義攔截響應頁面。更多信息，請參見設置自定義響應規則配置攔截響應頁面。 觀察：表示不攔截命中規則的請求，只通過日志記錄請求命中了規則。您可以通過WAF日志，查詢命中當前規則的請求，分析規則的防護效果（例如，是否有誤攔截等）。 重要 只有開通日志服務，您才可以使用日志查詢功能。更多信息，請參見開啟或關閉日志服務。 觀察模式方便您試運行首次配置的規則，待確認規則沒有產生誤攔截后，再將規則設置為攔截模式。 說明 您可以通過安全報表，查詢攔截類、觀察類防護規則的命中詳情。更多信息，請參見安全報表。
   生效對象	從已添加的防護對象及對象組中，選擇要應用該模板的防護對象和防護對象組。 一個防護對象或對象組只能關聯到當前防護模塊下的一個模板。關于添加防護對象和對象組的具體操作，請參見配置防護對象和防護對象組。

   新建的規則模板默認開啟。您可以在規則模板列表執行如下操作：

   • 查看模板關聯的防護對象/組的數量。

   • 通過模板開關，開啟或關閉模板。

   • 編輯或刪除規則模板。

   • 單擊規則模板名稱左側的圖標，查看和管理規則模板包含的規則。

     • 解除當前封禁IP：單擊解封當前封禁IP，直接解除由該功能封禁的IP。

       重要

       • 僅高頻掃描封禁、目錄遍歷封禁支持解除當前封禁IP功能。

       • 模板且規則開啟時解除當前封禁IP功能可用。

后續步驟

您可以在安全報表頁面的掃描防護頁簽，查詢防護規則的防護詳情。更多信息，請參見IP黑名單、自定義規則、掃描防護、CC防護或區域封禁。

相關文檔

• 如果您想了解WAF 3.0的防護對象、防護模塊及防護流程等信息，請參見防護配置概述。

• 如果您想使用API創建防護模板，請參見CreateDefenseTemplate - 創建防護模板。

• 如果您想創建一個基礎防護規則，并配置規則內容，請參見CreateDefenseRule - 創建防護規則。