网站接入Web应用防火墙后,您可以为其开启扫描防护功能。扫描防护帮助网站自动阻断包含指定特征的访问请求,例如请求源IP在短期内发起多次Web攻击或目标遍历攻击、请求源IP来自常见扫描工具或阿里云恶意扫描攻击IP库。您可以根据实际需求配置扫描防护的防护策略。

前提条件

说明 本文介绍的扫描防护功能对应2020年1月发布的新版控制台界面,新版界面目前仅向中国大陆地域开放。如果您使用在此日期前开通的Web应用防火墙实例或海外地区服务,请参见高频Web攻击IP自动封禁目录遍历防护扫描威胁情报
  • Web应用防火墙实例的地域必须是中国大陆。
  • Web应用防火墙实例的规格必须满足以下条件。
    • 包年包月开通的Web应用防火墙实例,实例套餐必须是企业版及以上规格,才能自定义高频Web攻击封禁和目录遍历防护的防护策略。高级版及以下规格的套餐,只能使用默认防护策略开启扫描防护功能。
    • 按量付费开通的Web应用防火墙实例,必须在功能与规格设置中开启Web攻击防护高级防护模式,才能自定义高频Web攻击封禁和目录遍历防护的防护策略。Web攻击防护的基础防护模式下,只能使用默认防护策略开启扫描防护功能。更多信息,请参见功能与规格配置(按量付费模式)
  • 已完成网站接入。更多信息,请参见业务接入WAF配置

背景信息

扫描防护功能包括高频Web攻击封禁、目录遍历防护、扫描工具封禁、协同防御。

  • 高频Web攻击封禁:自动封禁在短时间内发起多次Web攻击的客户端IP。如果某个客户端IP在一定时间内发起Web攻击请求超过一定数量,则阻断该IP的访问请求一定时间。支持自定义防护策略。封禁期间支持手动解封。
  • 目录遍历防护:自动封禁在短时间内发起多次目录遍历攻击的客户端IP。如果某个客户端IP在一定时间内的总请求次数超过一定数量,且响应码404占比超过总请求的一定比额,则阻断该IP的访问请求一定时间。支持自定义防护策略。封禁期间支持手动解封。
  • 扫描工具封禁:自动阻断常见扫描工具IP的访问请求。支持封禁的扫描工具包括Sqlmap、AWVS、Nessus、Appscan、Webinspect、Netsparker、Nikto、Rsas等。
  • 协同防御:自动阻断阿里云全球恶意扫描攻击IP库中IP的访问请求。

操作步骤

  1. 登录Web应用防火墙控制台
  2. 在页面上方选择中国大陆地域。
  3. 在左侧导航栏,单击防护配置 > 网站防护
  4. 网站防护页面上方,切换到要设置的域名。切换域名
  5. 定位到访问控制/限流下的扫描防护配置区域,完成以下功能配置。扫描防护
    • 高频Web攻击封禁:开启或关闭高频Web攻击封禁。
      配置高频Web攻击封禁的防护策略
      1. 开启高频Web攻击封禁。
      2. 单击前去配置
      3. 规则设置对话框中,配置以下参数:检测时间范围(秒)、Web攻击次数超过(次)、封禁IP(秒)。

        规则释义:如果某个客户端IP在指定的检测时间范围内发起的Web攻击次数超过指定数量,则在指定的封禁IP时长内阻断该IP的访问请求。

        说明 建议您使用设置参考,单击选择一种内置的配置模式(宽松模式严格模式正常模式),并在此基础上进行调整。
        规则设置
      4. 单击确定

      解除当前封禁IP:单击解除当前封禁IP,直接解除由该功能封禁的IP。

    • 目录遍历防护:开启或关闭目录遍历防护。
      配置目录遍历防护的防护策略
      1. 开启目录遍历防护。
      2. 单击前去配置
      3. 规则设置对话框中,配置以下参数:检测时间范围(秒)、请求总次数超过(次)、且404响应码占比超过(%)、封禁IP(秒)、目录数量

        规则释义:如果某个客户端IP在指定的检测时间范围内发起的请求总次数超过指定数量且404响应码占比超过指定比例,或者在指定的检测时间范围内请求访问的目录数量超过指定值,则在指定的封禁IP时长内阻断该IP的访问请求。

        说明 建议您使用设置参考,单击选择一种内置的配置模式(宽松模式严格模式正常模式),并在此基础上进行调整。
        规则设置
      4. 单击确定

      解除当前封禁IP:单击解除当前封禁IP,直接解除由该功能封禁的IP。

    • 扫描工具封禁:开启或关闭扫描工具封禁。

      开启后,智能识别常见的扫描工具行为。如果访问行为满足扫描特征,将一直阻断其访问请求。关闭后,将不再拦截扫描行为。

    • 协同防御:开启或关闭协同防御。

      开启后,自动阻断来自阿里云全球恶意扫描攻击IP库中IP的访问请求。

执行结果

扫描防护的功能配置调整后自动生效。