扫描防护模块通过识别扫描行为和扫描器特征,阻止攻击者或扫描器对网站的大规模扫描行为,对攻击源执行拦截操作或自动拉入黑名单,帮助Web业务降低被入侵的风险并减少扫描带来的垃圾流量。
在ESA控制台,选择站点管理,在站点列单击目标站点。
在站点详情页面,选择安全防护 > WAF > 扫描防护规则。
在扫描防护规则页签,单击新增规则集。
填写规则集名称。
当请求匹配以下规则时...:设置要匹配的用户请求特征,符合条件的请求才会执行扫描防护的各个防护规则,请求匹配字段请参见规则表达式的组成。
触发防护类型:设置匹配规则后执行的防护动作类型。
高频扫描封禁与目录遍历封禁请至少选择1个进行配置。
配置高频扫描封禁
将短时间内多次触发当前防护对象下基础防护规则的攻击源,自动拉入黑名单,在一段时间内对该攻击源的所有请求执行拦截、观察处置。
参数
说明
封禁对象
选择要统计的攻击源的类型。可选项:
Cookie 值:统计包含指定Cookie的攻击请求的频率。
标头:统计包含指定Header的攻击请求的频率。
IP源地址:表示统计同一个客户端IP发起攻击的频率。
会话:表示统计同一个客户端会话发起攻击的频率。
URI 指定查询字符串:统计包含指定参数的攻击请求的频率。
检测时间范围(秒)
设置检测HTTP请求的时间范围。
取值范围:5~1800。
单位:秒。
基础防护规则触发(次)
在检测时间范围内,设置允许单个统计对象触发当前防护对象下基础防护规则的最大次数。
取值范围:3~50000。
触发规则数大于(条)
在检测时间范围内,设置允许单个统计对象触发当前防护对象下不同基础防护规则的数量。
取值范围:1~50。
封禁时间(秒)
对命中当前规则的对象,设置封禁其请求的时长。
取值范围:60~86400。
配置目录遍历封禁
将短时间内访问当前防护对象下大量无效目录的攻击源,自动拉入黑名单,在一段时间内对该攻击源的所有请求执行拦截、观察处置。
对防护对象请求超过(次)
在检测时间范围内,设置允许单个统计对象对单个域名发起请求次数的最大值。
404响应码比例超过(%)
设置404响应码占比的最大值。
取值范围:1~100。
单位:%(百分比)。
不存在的目录超过数量(个)
在检测时间范围内,设置允许单个统计对象访问的不存在的目录(不包含图片等静态文件)的最大数量。
取值范围:2~50000。
开启或关闭扫描工具封禁
对来自常见扫描工具(例如,Sqlmap、AWVS、Nessus、Appscan、Webinspect、Netsparker、Nikto、Rsas等)的请求,执行拦截、观察的处置。
最终执行...:当匹配到的请求命中规则时,要执行的防护动作,详细信息请参见WAF。
单击确定。
功能项
基础版
标准版
高级版
企业版
支持的扫描防护规则条数
不支持
5条
10条
20条