網站接入Web Application Firewall後,您可以為其開啟掃描防護功能。掃描防護協助網站自動阻斷包含指定特徵的訪問請求,例如請求源IP在短期內發起多次Web攻擊或目錄遍曆攻擊、請求源IP來自常見掃描工具或阿里雲惡意掃描攻擊IP庫。
前提條件
- 已開通Web Application Firewall執行個體,且執行個體版本是進階版及以上規格。重要 進階版執行個體只支援使用預設掃描防護策略,不支援自訂掃描防護策略。如需自訂高頻Web攻擊封鎖和目錄遍曆防護的防護策略,則執行個體版本必須是企業版及以上規格。
已完成網站接入。具體操作,請參見使用教程。
背景資訊
掃描防護功能包括以下防護策略:
- 高頻Web攻擊封鎖:自動封鎖在短時間內發起多次Web攻擊的用戶端IP。支援自訂防護策略。封鎖期間支援手動解鎖。
- 目錄遍曆防護:自動封鎖在短時間內發起多次目錄遍曆攻擊的用戶端IP。支援自訂防護策略。封鎖期間支援手動解鎖。
- 掃描工具封鎖:自動阻斷常見掃描工具IP的訪問請求。支援封鎖的掃描工具包括Sqlmap、AWVS、Nessus、Appscan、Webinspect、Netsparker、Nikto、Rsas等。
- 協同防禦:自動阻斷阿里雲全球惡意掃描攻擊IP庫中IP的訪問請求。
操作步驟
在頂部功能表列,選擇Web Application Firewall執行個體的資源群組和地區(中國內地、非中國內地)。
在左側導覽列,選擇。
在網站防護頁面上方,切換到要設定的網域名稱。
- 單擊存取控制/限流頁簽,定位到掃描防護地區,完成以下功能配置。
說明 掃描防護下任意功能開啟後,所有網站請求預設都會經過掃描防護的檢測。您可以通過設定存取控制/限流白名單,讓滿足條件的請求忽略掃描防護的檢測。更多資訊,請參見設定存取控制/限流白名單。- 高頻Web攻擊封鎖:開啟或關閉高頻Web攻擊封鎖。 配置高頻Web攻擊封鎖的防護策略
- 開啟高頻Web攻擊封鎖。
- 單擊前去配置。
- 在規則設定對話方塊,配置以下參數:檢測時間範圍(秒)、Web攻擊次數超過(次)、封鎖IP(秒)。
規則釋義:如果某個用戶端IP在指定的檢測時間範圍內發起的Web攻擊次數超過指定數量,則在指定的封鎖IP時間長度內阻斷該IP的訪問請求。
說明 建議您使用設定參考,單擊選擇一種內建的配置模式(寬鬆模式、strict 模式、正常模式),並在此基礎上進行調整。 - 單擊確定。
解除當前封鎖IP:單擊解鎖當前封鎖IP,直接解除由該功能封鎖的IP。
- 目錄遍曆防護:開啟或關閉目錄遍曆防護。 配置目錄遍曆防護的防護策略
- 開啟目錄遍曆防護。
- 單擊前去配置。
- 在規則設定對話方塊,配置以下參數:檢測時間範圍(秒)、請求總次數超過(次)、且404響應碼佔比超過(%)、封鎖IP(秒)、目錄數量。
規則釋義:如果某個用戶端IP在指定的檢測時間範圍內發起的請求總次數超過指定數量且404響應碼佔比超過指定比例,且在指定的檢測時間範圍內請求訪問的目錄數量超過指定值,則在指定的封鎖IP時間長度內阻斷該IP的訪問請求。
說明 建議您使用設定參考,單擊選擇一種內建的配置模式(寬鬆模式、strict 模式、正常模式),並在此基礎上進行調整。 - 單擊確定。
解除當前封鎖IP:單擊解鎖當前封鎖IP,直接解除由該功能封鎖的IP。
- 掃描工具封鎖:開啟或關閉掃描工具封鎖。
開啟後,智能識別常見的掃描工具行為。如果訪問行為滿足掃描特徵,將一直阻斷其訪問請求。關閉後,將不再攔截掃描行為。
- 協同防禦:開啟或關閉協同防禦。
開啟後,自動阻斷來自阿里雲全球惡意掃描攻擊IP庫中IP的訪問請求。
- 高頻Web攻擊封鎖:開啟或關閉高頻Web攻擊封鎖。