スキャン保護モジュールは、自動スキャナーの動作と特性を検出して、攻撃者やスキャナーがWebサイトをスキャンするのを防ぎます。 攻撃ソースはブロックされるか、ブラックリストに追加されます。 これにより、webサービスへの侵入のリスクが軽減され、悪意のあるスキャナーによって生成される追加のトラフィックが防止されます。
前提条件
Webアプリケーションファイアウォール (WAF) が有効になっています。 詳細については、「WAFの使用を開始する (new edition) 」をご参照ください。
保護するドメイン名がWAFに追加されます。 詳細については、「保護のためのドメイン名の追加」をご参照ください。
背景情報
スキャン保護モジュールは、次の種類のルールを提供します。
高頻度スキャンブロック: ソースが保護されたオブジェクトの基本的な保護ルールを短期間に複数回トリガーした場合、そのソースはブラックリストに追加されます。 WAFは、指定された期間内にソースからのリクエストをブロックまたは監視します。
ディレクトリトラバーサルブロッキング: ソースが短期間内に保護されたオブジェクトの存在しない多数のディレクトリにアクセスした場合、そのソースはブラックリストに追加されます。 WAFは、指定された期間内にソースからのリクエストをブロックまたは監視します。
スキャナーのブロック: 一般的なスキャナーがブラックリストに追加されます。 スキャナーには、sqlmap、Acunetix web脆弱性スキャナー (AWVS) 、Nessus、HCL AppScan、WebInspect、Netsparker、Nikto、およびRSASが含まれます。 WAFは、スキャナーからの要求をブロックまたは監視します。
スキャン保護ポリシーの作成
スキャン保護モジュールを初めて設定するときは、スキャン保護テンプレートを作成し、保護ルールを設定する必要があります。
左側のナビゲーションウィンドウで、.
On the保護ポリシーページをクリックします。ポリシーの作成.
[ポリシーの作成] ページで、パラメーターを設定します。 下表にパラメーターを示します。
セクション
パラメーター
説明
ポリシー情報
ポリシータイプ
[スキャン保護] を選択します。
ポリシー名
ポリシーの名前を入力します。 名前は最大64文字で、英数字、アンダースコア (_) を使用できます。
デフォルト設定
このポリシーをポリシータイプのデフォルトポリシーとして設定するかどうかを指定します。
デフォルトポリシーに保護ドメイン名を設定する必要はありません。 デフォルトポリシーは、カスタム保護ポリシーに関連付けられていないすべての保護ドメイン名に適用されます。これには、カスタム保護ポリシーとの関連付けが解除され、デフォルトポリシーの適用後に追加されたドメイン名も含まれます。
説明ポリシーの種類ごとに1つのデフォルトポリシーのみを指定できます。 デフォルトポリシーを指定した後は、デフォルトポリシーを変更することはできません。
現在のポリシータイプにデフォルトのポリシーが指定されている場合、このスイッチは使用できません。
ルール情報
ルール
保護ルールに一致するリクエストに対してWAFが実行するアクションを指定します。 有効な値:
Block: ルールに一致するリクエストをブロックし、ブロックページをクライアントに返します。
Monitor: ルールに一致するリクエストをブロックしません。
[モニター] モードでは、ルールの保護パフォーマンスを表示し、ルールが通常のリクエストをブロックするかどうかを確認できます。 次に、ActionパラメーターをBlockに設定するかどうかを判断できます。
高周波スキャンブロッキング
ステータス
高周波スキャンブロッキングを有効または無効にします。
デフォルト設定: 攻撃ソース (ブロックオブジェクトで指定、デフォルト値: IP) が60秒で20回 (トリガーしきい値で指定) を超える保護ルール (トリガールールで指定) をトリガーした場合 (時間範囲で指定) 、攻撃ソースは30分間ブラックリストに追加されます (ブロック時間で指定) 。設定された保護ルールに基づいて、攻撃元からのすべての要求が30分間ブロックまたは監視されます。
[設定] をクリックして、カスタムパラメーターを指定できます。 詳細については、次の行をご参照ください。
ブロックオブジェクト
統計を収集する攻撃ソースのタイプを選択します。 有効な値:
IP: 同じクライアントIPアドレスから攻撃が開始される頻度を収集します。
セッション: 同じクライアントからの異なるセッション中に攻撃が開始される頻度を収集します。
説明WAFはsetcookie() 関数を使用して、acw_tcで始まるCookieをレスポンスに挿入します。 このようにして、異なるクライアントからのセッションが識別される。
カスタム: 同じリクエスト特性を持つオブジェクトによって攻撃が開始される頻度を収集します。 次のいずれかの方法を使用して、リクエスト特性を指定できます。
カスタムヘッダー: 特定のヘッダーを含む攻撃リクエストの頻度を収集します。
カスタムパラメーター: 特定のパラメーターを含む攻撃リクエストの頻度を収集します。
カスタムCookie: 特定のcookieを含む攻撃リクエストの頻度を収集します。
時間範囲
HTTPリクエストが検出される期間を指定します。
有効な値: 5 ~ 1800
単位は秒です。
トリガーしきい値
[時間範囲] パラメーターで指定された期間内に、オブジェクトが保護対象オブジェクトの基本保護ルールをトリガーできる最大回数を指定します。
有効値: 3 ~ 50000
トリガールール
[時間範囲] パラメーターで指定された期間内にオブジェクトによってトリガーできる基本保護ルールの最大数を指定します。
有効値:1 〜 50 。
ブロッキング時間
ソースからのリクエストがブロックされる期間を指定します。
有効値: 60 ~ 86400
単位は秒です。
ディレクトリ横断ブロッキング
ステータス
ディレクトリトラバーサルのブロックを有効または無効にします。
デフォルト設定: 攻撃元 (Block Objectで指定、デフォルト値: IP) が10秒間に50回 (requestsで指定) を超えて保護されたオブジェクトを要求し (Time Rangeで指定) 、存在しない50を超えるディレクトリを要求した場合 (非存在ディレクトリで指定) 、リクエストのHTTP 404ステータスコードの割合が70% (HTTP 404ステータスコードの割合で指定) を超えた場合、攻撃元は30分間ブラックリストに追加され (ブロック時間で指定) 、攻撃元からのすべてのリクエストは設定された保護ルールに基づいて30分間ブロックまたは監視されます。
[設定] をクリックして、カスタムパラメーターを指定できます。 詳細については、次の行をご参照ください。
ブロックオブジェクト
統計を収集する攻撃ソースのタイプを選択します。 有効な値:
IP: 同じクライアントIPアドレスから攻撃が開始される頻度を収集します。
セッション: 同じクライアントからの異なるセッション中に攻撃が開始される頻度を収集します。
説明WAFはsetcookie() 関数を使用して、acw_tcで始まるCookieをレスポンスに挿入します。 このようにして、異なるクライアントからのセッションが識別される。
カスタム: 同じリクエスト特性を持つオブジェクトによって攻撃が開始される頻度を収集します。 次のいずれかの方法を使用して、リクエスト特性を指定できます。
カスタムヘッダー: 特定のヘッダーを含む攻撃リクエストの頻度を収集します。
カスタムパラメーター: 特定のパラメーターを含む攻撃リクエストの頻度を収集します。
カスタムCookie: 特定のcookieを含む攻撃リクエストの頻度を収集します。
時間範囲
HTTPリクエストが検出される期間を指定します。
有効な値: 5 ~ 1800
単位は秒です。
リクエスト
[時間範囲] で指定された期間内に、1つのオブジェクトが1つのドメイン名に対して開始できるリクエストの最大数を指定します。
有効値: 3 ~ 50000
HTTP 404ステータスコードの割合
HTTP 404ステータスコードの最大パーセンテージを指定します。
設定可能な値は 1~100 です。
単位: % 。
存在しないディレクトリ
[時間範囲] で指定された期間内にオブジェクトがアクセスできる存在しないディレクトリの最大数を指定します。 存在しないディレクトリは、画像などの静的ファイルを除外します。
有効な値: 2 ~ 50000
ブロッキング時間
ソースからのリクエストがブロックされる期間を指定します。
有効値: 60 ~ 86400
単位は秒です。
スキャナーブロッキング
ステータス
スキャナーのブロックを有効または無効にします。
保護されたドメイン名
保護されたドメイン名
現在の保護ポリシーに関連付けるドメイン名を入力します。
説明保護ドメイン名は、ポリシータイプの1つの保護ポリシーのみに関連付けることができます。
ドメイン名がポリシータイプの保護ポリシーに関連付けられていて、そのドメイン名をそのポリシータイプの別の保護ポリシーに関連付けると、新しい保護ポリシーが既存のポリシーを上書きします。
クリックポリシーの作成.
デフォルトでは、作成した保護ポリシーは有効になっています。