网站接入Web应用防火墙后,您可以为其开启扫描防护功能。扫描防护帮助网站自动阻断包含指定特征的访问请求,例如请求源IP在短期内发起多次Web攻击或目录遍历攻击、请求源IP来自常见扫描工具或阿里云恶意扫描攻击IP库。
前提条件
- 已开通Web应用防火墙实例,且实例满足以下要求:
- 包年包月实例:实例版本是高级版及以上规格。
注意 高级版实例只支持使用默认扫描防护策略,不支持自定义扫描防护策略。如需自定义高频Web攻击封禁和目录遍历防护的防护策略,则实例版本必须是企业版及以上规格。
更多信息,请参见开通Web应用防火墙。
- 按量计费实例:已在账单与套餐中心,开启Web入侵防护模块下自定义扫描防护功能。
更多信息,请参见账单与套餐中心(按量2.0版本)。
- 包年包月实例:实例版本是高级版及以上规格。
- 已完成网站接入。
更多信息,请参见网站接入概述。
背景信息
扫描防护功能包括以下防护策略:
- 高频Web攻击封禁:自动封禁在短时间内发起多次Web攻击的客户端IP。支持自定义防护策略。封禁期间支持手动解封。
- 目录遍历防护:自动封禁在短时间内发起多次目录遍历攻击的客户端IP。支持自定义防护策略。封禁期间支持手动解封。
- 扫描工具封禁:自动阻断常见扫描工具IP的访问请求。支持封禁的扫描工具包括Sqlmap、AWVS、Nessus、Appscan、Webinspect、Netsparker、Nikto、Rsas等。
- 协同防御:自动阻断阿里云全球恶意扫描攻击IP库中IP的访问请求。
操作步骤
- 在网站防护页面上方,切换到要设置的域名。
- 单击访问控制/限流页签,定位到扫描防护区域,完成以下功能配置。
说明 扫描防护下任意功能开启后,所有网站请求默认都会经过扫描防护的检测。您可以通过设置访问控制/限流白名单,让满足条件的请求忽略扫描防护的检测。更多信息,请参见设置访问控制/限流白名单。- 高频Web攻击封禁:开启或关闭高频Web攻击封禁。
配置高频Web攻击封禁的防护策略
- 开启高频Web攻击封禁。
- 单击前去配置。
- 在规则设置对话框,配置以下参数:检测时间范围(秒)、Web攻击次数超过(次)、封禁IP(秒)。
规则释义:如果某个客户端IP在指定的检测时间范围内发起的Web攻击次数超过指定数量,则在指定的封禁IP时长内阻断该IP的访问请求。
说明 建议您使用设置参考,单击选择一种内置的配置模式(宽松模式、严格模式、正常模式),并在此基础上进行调整。 - 单击确定。
解除当前封禁IP:单击解封当前封禁IP,直接解除由该功能封禁的IP。
- 目录遍历防护:开启或关闭目录遍历防护。
配置目录遍历防护的防护策略
- 开启目录遍历防护。
- 单击前去配置。
- 在规则设置对话框,配置以下参数:检测时间范围(秒)、请求总次数超过(次)、且404响应码占比超过(%)、封禁IP(秒)、目录数量。
规则释义:如果某个客户端IP在指定的检测时间范围内发起的请求总次数超过指定数量且404响应码占比超过指定比例,或者在指定的检测时间范围内请求访问的目录数量超过指定值,则在指定的封禁IP时长内阻断该IP的访问请求。
说明 建议您使用设置参考,单击选择一种内置的配置模式(宽松模式、严格模式、正常模式),并在此基础上进行调整。 - 单击确定。
解除当前封禁IP:单击解封当前封禁IP,直接解除由该功能封禁的IP。
- 扫描工具封禁:开启或关闭扫描工具封禁。
开启后,智能识别常见的扫描工具行为。如果访问行为满足扫描特征,将一直阻断其访问请求。关闭后,将不再拦截扫描行为。
- 协同防御:开启或关闭协同防御。
开启后,自动阻断来自阿里云全球恶意扫描攻击IP库中IP的访问请求。
- 高频Web攻击封禁:开启或关闭高频Web攻击封禁。