AI 助理
备案控制台
官方文档
输入文档关键字查找
首页 Web应用防火墙 Web应用防火墙3.0 操作指南 防护配置 Web核心防护 扫描防护

扫描防护

更新时间:
产品详情
我的收藏

接入Web应用防火墙(Web Application Firewall,简称WAF)后,您可以设置扫描防护规则,识别扫描行为和扫描器特征,阻止攻击者或扫描器对网站的大规模扫描行为,帮助Web业务降低被入侵的风险并减少扫描带来的垃圾流量。本文介绍如何创建扫描防护模板以及扫描防护规则。

背景信息

扫描防护规则分为以下类型:

  • 高频扫描封禁:将短时间内多次触发当前防护对象下Web核心防护规则的攻击源,自动拉入黑名单,在一段时间内对该攻击源的所有请求执行拦截、观察处置。

  • 目录遍历封禁:将短时间内访问当前防护对象下大量无效目录(不包含图片等静态文件)的攻击源,自动拉入黑名单,在一段时间内对该攻击源的所有请求执行拦截、观察处置。

  • 扫描工具封禁:对来自常见扫描工具(例如,Sqlmap、AWVS、Nessus、Appscan、Webinspect、Netsparker、Nikto、Rsas等)的请求,执行拦截、观察处置。

模板类型

扫描防护的防护模板有以下两种类型。

防护模板

说明

生效对象

默认防护模板

WAF提供的初始默认防护模板。防护模板默认启用。

说明

仅包年包月高级版、包年包月企业版及包年包月旗舰版包含默认开启的初始默认防护模板。

新建时,对没有关联自定义防护模板的防护对象/组默认勾选为生效,后续新增的防护对象也会自动加入到默认防护模板中,可手动调整。

自定义防护模板

根据业务需要,自定义的防护模板。需要手动创建,适用于单一初始默认防护模板无法满足业务需求的场景。

需要设置生效对象,只对关联到防护模板的防护对象和对象组生效。

前提条件

创建扫描防护模板

WAF提供初始默认防护模板,防护模板默认启用,如需启用自定义的规则,必须新建一个防护模板,并配置相关规则。如果您希望创建新扫描防护模板,请按照以下步骤进行创建。

  1. 登录Web应用防火墙3.0控制台。在顶部菜单栏,选择WAF实例的资源组和地域(中国内地非中国内地

  2. 在左侧导航栏,选择防护配置 > Web 核心防护

  3. Web 核心防护页面下方扫描防护区域,单击新建模板

  4. 新建模板 - 扫描防护面板,完成以下配置,单击确定

    配置项

    说明

    模板名称

    为该模板设置一个名称。

    长度为1~255个字符,支持中文和大小写英文字母,可包含数字、半角句号(.)、下划线(_)和短划线(-)。

    是否设置为默认模板

    默认防护模板无需设置生效对象,默认应用于所有未关联到自定义防护模板的防护对象和对象组(包括后续新增、从自定义防护模板中移除的防护对象和对象组),您也可以手动将它们从默认模板中移出。一个防护模块只允许设置一个默认模板并只能在新建模板时设置。

    规则配置

    设置扫描防护规则。扫描防护模板只有一套规则,规则分为以下三个部分:

    • 高频扫描封禁

      开启该功能后,默认按如下配置生效:某个IP(统计和封禁对象)在60秒(检测时间范围)内,触发当前防护对象下Web核心防护规则的次数大于20次(Web核心防护规则触发),并且触发的不同防护规则的数量大于2个(触发规则数大于),则将该IP拉入到黑名单1800秒(封禁时间),并按防护规则配置的规则动作处置。

      您可以单击高级设置,修改规则配置:

      • 统计和封禁对象

        • IP:表示统计同一个客户端IP发起攻击的频率。

        • 会话:表示统计同一个客户端会话发起攻击的频率。

          说明

          我们会尝试在response中通过setcookie方法插入以acw_tc开头的cookie来标记不同的客户端会话,选择此项将拉黑触发规则的acw_tc cookie值。

        • 账号:表示统计同一个账号发起攻击的频率。

          说明

          账号维度的封禁,需要在防护对象-设置中配置账号/token的提取方式才可以生效

        • 自定义:表示统计具有同样请求特征的对象发起攻击的频率。

          您可以通过以下方式指定请求特征:

          • 自定义Header:表示统计包含指定Header的攻击请求的频率。

          • 自定义参数:表示统计包含指定参数的攻击请求的频率。

          • 自定义Cookie:表示统计包含指定Cookie的攻击请求的频率。

      • 规则详情

        支持修改如下参数:检测时间范围Web核心防护规则触发封禁时间触发规则数大于

    • 目录遍历封禁

      开启该功能后,默认按如下配置生效:如果某个IP(统计和封禁对象)在10检测时间范围)内,针对当前防护对象的请求次数超过50针对当前防护对象请求次数超过)、请求的不存在的目录数量超过50不存在的目录数量超过),并且请求响应中404响应码占比超过70%404响应码比例超过),则将该IP拉入到黑名单,并按防护规则配置的规则动作处置。

      说明

      目录扫描的统计排除了 .js.png 等静态网页文件类型。

      您可以单击高级设置,修改规则配置:

      • 统计和封禁对象

        • IP:表示统计同一个客户端IP发起攻击的频率。

        • 会话:表示统计同一个客户端会话发起攻击的频率。

          说明

          我们会尝试在response中通过setcookie方法插入以acw_tc开头的cookie来标记不同的客户端会话,选择此项将拉黑触发规则的acw_tc cookie值。

        • 账号:表示统计同一个账号发起攻击的频率。

          说明

          账号维度的封禁,需要在防护对象-设置中配置账号/token的提取方式才可以生效

        • 自定义:表示统计具有同样请求特征的对象发起攻击的频率。

          您可以通过以下方式指定请求特征:

          • 自定义Header:表示统计包含指定Header的攻击请求的频率。

          • 自定义参数:表示统计包含指定参数的攻击请求的频率。

          • 自定义Cookie:表示统计包含指定Cookie的攻击请求的频率。

      • 规则详情

        支持修改如下参数:检测时间范围针对当前防护对象请求次数超过404响应码比例超过封禁时间不存在的目录数量超过

    • 扫描工具封禁

      开启该功能后,WAF对来自常见扫描工具(例如Sqlmap、AWVS、Nessus、Appscan、Webinspect、Netsparker、Nikto、Rsas等)的请求,按防护规则配置的规则动作处置。

    规则动作

    选择当请求命中该规则时,要执行的防护动作。可选项:

    • 拦截:表示拦截命中规则的请求,并向发起请求的客户端返回拦截响应页面。

      说明

      WAF默认使用统一的拦截响应页面,您可以通过自定义响应功能,自定义拦截响应页面。更多信息,请参见设置自定义响应规则配置拦截响应页面

    • 观察:表示不拦截命中规则的请求,只通过日志记录请求命中了规则。您可以通过WAF日志,查询命中当前规则的请求,分析规则的防护效果(例如,是否有误拦截等)。

      重要

      只有开通日志服务,您才可以使用日志查询功能。更多信息,请参见开启或关闭日志服务

      观察模式方便您试运行首次配置的规则,待确认规则没有产生误拦截后,再将规则设置为拦截模式。

    说明

    您可以通过安全报表,查询拦截类、观察类防护规则的命中详情。更多信息,请参见安全报表

    生效对象

    从已添加的配置防护对象和防护对象组中,选择要应用该模板的配置防护对象和防护对象组。

    一个防护对象或对象组只能关联一个扫描防护模板。如果您设置了默认防护模板,默认所有未关联到自定义防护模板的防护对象和对象组勾选为生效;当您没有设置默认模板,则不会默认勾选防护对象与对象组为生效。生效对象均支持手动修改。

    新建的防护模板默认开启。您可以在防护模板列表执行如下操作:

    • 查看模板关联的防护对象/组的数量。

    • 通过模板开关,开启或关闭模板。

    • 编辑删除防护模板。

    • 单击防护模板名称左侧的展开图标 图标,查看和管理防护模板包含的规则。

      • 解除当前封禁IP:单击解封当前封禁IP,直接解除由该功能封禁的IP。

        重要

        • 高频扫描封禁目录遍历封禁支持解除当前封禁IP功能。

        • 模板且规则开启时解除当前封禁IP功能可用。

后续步骤

您可以在安全报表页面的扫描防护页签,查询防护规则的防护详情。更多信息,请参见安全报表

相关文档

上一篇:自定义规则下一篇:设置自定义响应规则配置拦截响应页面