配置扫描防护

扫描防护模块通过识别扫描行为和扫描器特征,阻止攻击者或扫描器对网站的大规模扫描行为,对攻击源执行拦截操作或自动拉入黑名单,帮助Web业务降低被入侵的风险并减少扫描带来的垃圾流量。

前提条件

背景信息

扫描防护规则分为以下类型:

  • 高频扫描封禁:将短时间内多次触发当前防护对象下基础防护规则的攻击源,自动拉入黑名单,在一段时间内对该攻击源的所有请求执行拦截、观察处置。

  • 目录遍历封禁:将短时间内访问当前防护对象下大量无效目录的攻击源,自动拉入黑名单,在一段时间内对该攻击源的所有请求执行拦截、观察处置。

  • 扫描工具封禁:对来自常见扫描工具(例如,Sqlmap、AWVS、Nessus、Appscan、Webinspect、Netsparker、Nikto、Rsas等)的请求,执行拦截、观察处置。

新建防护策略 - 扫描防护

首次配置扫描防护模块时,您必须新建一个扫描防护规则模板,并配置相关规则。

  1. 登录DCDN控制台

  2. 在左侧导航栏,单击WAF防护 > 防护策略

  3. 防护策略页面,单击新建策略

  4. 创建防护策略页面,配置防护信息。

    配置模块

    配置项

    说明

    策略信息

    策略类型

    选择扫描防护

    策略名称

    自定义填写策略名称,支持输入中文字符、英文字符(大小写)、数字(0~9)及下划线(_),最大输入64个字符。

    设置为默认策略

    选择是否将该策略设置为当前防护策略类型的默认策略。

    默认策略无需设置生效防护域名,默认应用于所有未关联到自定义防护策略的防护域名(包括后续新增、从自定义防护策略中移除的防护域名)。

    说明
    • 一种策略类型只能设置一个默认策略,默认策略创建后无法更换。

    • 若当前策略类型已有默认策略,则该开关不可配置。

    规则信息

    规则

    选择当请求命中该规则时,要执行的防护动作。可选项:

    • 拦截:表示拦截命中规则的请求,并向发起请求的客户端返回拦截响应页面。

    • 观察:表示不拦截命中规则的请求。

    观察模式方便您试运行首次配置的规则,待确认规则没有产生误拦截后,再将规则设置为拦截模式。

    高频扫描封禁

    状态

    开启或关闭高频扫描封禁。

    默认配置:如果某个攻击源(即封禁对象,默认为IP)在检测时间范围60秒内,基础防护规则触发的次数大于20次,并且触发防护规则数大于2条,则将该攻击源拉入到黑名单,封禁时间为30分钟(在30分钟内按照配置的防护规则,拦截或观察该攻击源的所有请求)。

    您可以单击修改配置,自定义参数配置,具体请参见下行表格。

    封禁对象

    选择要统计的攻击源的类型。可选项:

    • IP:表示统计同一个客户端IP发起攻击的频率。

    • 会话:表示统计同一个客户端会话发起攻击的频率。

      说明

      WAF会尝试在请求响应中,通过setcookie方法插入以acw_tc开头的Cookie,来标记不同的客户端会话。

    • 自定义:表示统计具有同样请求特征的对象发起攻击的频率。您可以通过以下方式指定请求特征:

      • 自定义Header:表示统计包含指定Header的攻击请求的频率。

      • 自定义参数:表示统计包含指定参数的攻击请求的频率。

      • 自定义Cookie:表示统计包含指定Cookie的攻击请求的频率。

    检测时间范围

    设置检测HTTP请求的时间范围。

    • 取值范围:5~1800。

    • 单位:秒。

    基础防护规则触发

    检测时间范围内,设置允许单个统计对象触发当前防护对象下基础防护规则的最大次数。

    取值范围:3~50000。

    触发规则数大于

    检测时间范围内,设置允许单个统计对象触发当前防护对象下不同基础防护规则的数量。

    取值范围:1~50。

    封禁时间

    对命中当前规则的对象,设置封禁其请求的时长。

    • 取值范围:60~86400。

    • 单位:秒。

    目录遍历封禁

    状态

    开启或关闭目录遍历封禁。

    默认配置:如果某个攻击源(即封禁对象,默认为IP)在检测时间范围10秒内,对防护对象请求超过50次,请求404响应码比例超过70%,并且请求不存在的目录数量超过50个,则将该攻击源拉入黑名单,封禁时间为30分钟(在30分钟内按照配置的防护规则,拦截或观察该攻击源的所有请求)。

    您可以单击修改配置,自定义参数配置,具体请参见下行表格。

    封禁对象

    选择要统计的攻击源的类型。可选项:

    • IP:表示统计同一个客户端IP发起攻击的频率。

    • 会话:表示统计同一个客户端会话发起攻击的频率。

      说明

      WAF会尝试在请求响应中,通过setcookie方法插入以acw_tc开头的Cookie,来标记不同的客户端会话。

    • 自定义:表示统计具有同样请求特征的对象发起攻击的频率。您可以通过以下方式指定请求特征:

      • 自定义Header:表示统计包含指定Header的攻击请求的频率。

      • 自定义参数:表示统计包含指定参数的攻击请求的频率。

      • 自定义Cookie:表示统计包含指定Cookie的攻击请求的频率。

    检测时间范围

    设置检测时间范围。

    • 取值范围:5~1800。

    • 单位:秒。

    对防护对象请求超过

    检测时间范围内,设置允许单个统计对象对单个域名发起请求次数的最大值。

    取值范围:3~50000。

    404响应码比例超过

    设置404响应码占比的最大值。

    • 取值范围:1~100。

    • 单位:%(百分比)。

    不存在的目录数量超过

    检测时间范围内,设置允许单个统计对象访问的不存在的目录(不包含图片等静态文件)的最大数量。

    取值范围:2~50000。

    封禁时间

    对命中当前规则的对象,设置封禁其请求的时长。

    • 取值范围:60~86400。

    • 单位:秒。

    扫描工具封禁

    状态

    开启或关闭扫描工具封禁。

    防护域名

    防护域名

    选择需要接入当前防护策略中的域名。

    说明

    一个防护域名只能关联到同一策略类型的一种防护策略中。

    若该域名已关联至同一策略类型的其他防护策略,选择为该域名配置当前策略后,则该域名的策略信息将被替换为当前策略。

  5. 单击创建策略

    新建的防护策略默认开启。

相关API