接入Web应用防火墙(Web Application Firewall,简称WAF)后,您可以设置扫描防护规则,识别扫描行为和扫描器特征,阻止攻击者或扫描器对网站的大规模扫描行为,帮助Web业务降低被入侵的风险并减少扫描带来的垃圾流量。本文介绍如何创建扫描防护规则。
背景信息
扫描防护规则分为以下类型:
高频扫描封禁:将短时间内多次触发当前防护对象下Web核心防护规则的攻击源,自动拉入黑名单,在一段时间内对该攻击源的所有请求执行拦截、观察处置。
目录遍历封禁:将短时间内访问当前防护对象下大量无效目录(不包含图片等静态文件)的攻击源,自动拉入黑名单,在一段时间内对该攻击源的所有请求执行拦截、观察处置。
扫描工具封禁:对来自常见扫描工具(例如,Sqlmap、AWVS、Nessus、Appscan、Webinspect、Netsparker、Nikto、Rsas等)的请求,执行拦截、观察处置。
前提条件
已开通WAF 3.0服务。具体操作,请参见开通包年包月WAF 3.0、开通按量付费WAF 3.0。
已将Web业务添加为WAF 3.0的防护对象。具体操作,请参见配置防护对象和防护对象组。
创建扫描防护规则模板
内置一套默认规则模板,规则模板默认启用,如需启用自定义规则,必须新建一个规则模板,并配置相关规则。如果您希望创建新扫描防护规则模板,请按照以下步骤进行创建。
仅包年包月高级版、包年包月企业版及包年包月旗舰版包含默认开启的默认规则模板。
登录Web应用防火墙3.0控制台。在顶部菜单栏,选择WAF实例的资源组和地域(中国内地、非中国内地)。
在左侧导航栏,选择。
在Web核心防护页面下方扫描防护区域,单击新建模板。
说明如果您是第一次新建扫描防护规则模板,您也可以在Web核心防护页面上方的扫描防护卡片区域,单击立即配置。
在新建模板 - 扫描防护面板,完成以下配置,单击确定。
配置项
说明
模板名称
为该模板设置一个名称。
长度为1~255个字符,支持中文和大小写英文字母,可包含数字、半角句号(.)、下划线(_)和短划线(-)。
是否设置为默认模板
选择是否将该模板设置为当前防护模块的默认模板。
一个防护模块只允许设置一个默认模板。默认模板无需设置生效对象,默认应用于所有未关联到自定义规则模板的防护对象和对象组(包括后续新增、从自定义规则模板中移除的防护对象和对象组)。
规则配置
设置扫描防护规则。扫描防护规则模板只有一套规则,规则分为以下三个部分:
高频扫描封禁
开启该功能后,默认按如下配置生效:某个IP(统计和封禁对象)在60秒(检测时间范围)内,触发当前防护对象下Web核心防护规则的次数大于20次(Web核心防护规则触发),并且触发的不同防护规则的数量大于2个(触发规则数大于),则将该IP拉入到黑名单1800秒(封禁时间),并按防护规则配置的规则动作处置。
您可以单击高级设置,修改规则配置:
目录遍历封禁
开启该功能后,默认按如下配置生效:如果某个IP(统计和封禁对象)在10秒(检测时间范围)内,针对当前防护对象的请求次数超过50次(针对当前防护对象请求次数超过)、请求的不存在的目录数量超过50个(不存在的目录数量超过),并且请求响应中404响应码占比超过70%(且404响应码比例超过),则将该IP拉入到黑名单,并按防护规则配置的规则动作处置。
说明目录扫描的统计排除了
.js
和.png
等静态网页文件类型。您可以单击高级设置,修改规则配置:
扫描工具封禁:
开启该功能后,WAF对来自常见扫描工具(例如Sqlmap、AWVS、Nessus、Appscan、Webinspect、Netsparker、Nikto、Rsas等)的请求,按防护规则配置的规则动作处置。
规则动作
选择当请求命中该规则时,要执行的防护动作。可选项:
拦截:表示拦截命中规则的请求,并向发起请求的客户端返回拦截响应页面。
说明WAF默认使用统一的拦截响应页面,您可以通过自定义响应功能,自定义拦截响应页面。更多信息,请参见设置自定义响应规则配置拦截响应页面。
观察:表示不拦截命中规则的请求,只通过日志记录请求命中了规则。您可以通过WAF日志,查询命中当前规则的请求,分析规则的防护效果(例如,是否有误拦截等)。
重要只有开通日志服务,您才可以使用日志查询功能。更多信息,请参见开启或关闭日志服务。
观察模式方便您试运行首次配置的规则,待确认规则没有产生误拦截后,再将规则设置为拦截模式。
说明您可以通过安全报表,查询拦截类、观察类防护规则的命中详情。更多信息,请参见安全报表。
生效对象
从已添加的防护对象及对象组中,选择要应用该模板的防护对象和防护对象组。
一个防护对象或对象组只能关联到当前防护模块下的一个模板。关于添加防护对象和对象组的具体操作,请参见配置防护对象和防护对象组。
新建的规则模板默认开启。您可以在规则模板列表执行如下操作:
查看模板关联的防护对象/组的数量。
通过模板开关,开启或关闭模板。
编辑或删除规则模板。
单击规则模板名称左侧的图标,查看和管理规则模板包含的规则。
解除当前封禁IP:单击解封当前封禁IP,直接解除由该功能封禁的IP。
重要仅高频扫描封禁、目录遍历封禁支持解除当前封禁IP功能。
模板且规则开启时解除当前封禁IP功能可用。
后续步骤
您可以在安全报表页面的扫描防护页签,查询防护规则的防护详情。更多信息,请参见IP黑名单、自定义规则、扫描防护、CC防护或区域封禁。
相关文档
如果您想了解WAF 3.0的防护对象、防护模块及防护流程等信息,请参见防护配置概述。
如果您想使用API创建防护模板,请参见CreateDefenseTemplate - 创建防护模板。
如果您想创建一个Web核心防护规则,并配置规则内容,请参见CreateDefenseRule - 创建防护规则。