Web 应用防火墙：扫描防护规则

背景信息

前提条件

• 已开通WAF 3.0服务。具体操作，请参见开通包年包月WAF 3.0、开通按量付费WAF 3.0。

• 已将Web业务添加为WAF 3.0的防护对象。具体操作，请参见配置防护对象和防护对象组。

创建扫描防护规则模板

内置一套默认规则模板，规则模板默认启用，如需启用自定义规则，必须新建一个规则模板，并配置相关规则。如果您希望创建新扫描防护规则模板，请按照以下步骤进行创建。

1. 登录Web应用防火墙3.0控制台。在顶部菜单栏，选择WAF实例的资源组和地域（中国内地、非中国内地）

2. 在左侧导航栏，选择防护配置 > Web基础防护

3. 在Web基础防护页面下方扫描防护区域，单击新建模板。

   说明

   如果您是第一次新建扫描防护规则模板，您也可以在Web基础防护页面上方的扫描防护卡片区域，单击立即配置。

4. 在新建模板 - 扫描防护面板，完成以下配置，单击确定。

   配置项	说明
   模板名称	为该模板设置一个名称。 长度为1~255个字符，支持中文和大小写英文字母，可包含数字、半角句号（.）、下划线（_）和短划线（-）。
   是否设置为默认模板	选择是否将该模板设置为当前防护模块的默认模板。 一个防护模块只允许设置一个默认模板。默认模板无需设置生效对象，默认应用于所有未关联到自定义规则模板的防护对象和对象组（包括后续新增、从自定义规则模板中移除的防护对象和对象组）。
   规则配置	设置扫描防护规则。扫描防护规则模板只有一套规则，规则分为以下三个部分： 高频扫描封禁 开启该功能后，默认按如下配置生效：某个IP（统计和封禁对象）在60秒（检测时间范围）内，触发当前防护对象下基础防护规则的次数大于20次（基础防护规则触发），并且触发的不同防护规则的数量大于2个（触发规则数大于），则将该IP拉入到黑名单1800秒（封禁时间），并按防护规则配置的规则动作处置。 您可以单击高级设置，修改规则配置： 统计和封禁对象 IP：表示统计同一个客户端IP发起攻击的频率。 会话：表示统计同一个客户端会话发起攻击的频率。 说明 WAF会尝试在请求响应中，通过setcookie方法插入以acw_tc开头的Cookie，来标记不同的客户端会话。 自定义：表示统计具有同样请求特征的对象发起攻击的频率。 您可以通过以下方式指定请求特征： 自定义Header：表示统计包含指定Header的攻击请求的频率。 自定义参数：表示统计包含指定参数的攻击请求的频率。 自定义Cookie：表示统计包含指定Cookie的攻击请求的频率。 规则详情 支持修改如下参数：检测时间范围、基础防护规则触发、封禁时间、触发规则数大于。 目录遍历封禁 开启该功能后，默认按如下配置生效：如果某个IP（统计和封禁对象）在10秒（检测时间范围）内，针对当前防护对象的请求次数超过50次（针对当前防护对象请求次数超过）、请求的不存在的目录数量超过50个（不存在的目录数量超过），并且请求响应中404响应码占比超过70%（且404响应码比例超过），则将该IP拉入到黑名单，并按防护规则配置的规则动作处置。 说明 目录扫描的统计排除了 .js 和 .png 等静态网页文件类型。 您可以单击高级设置，修改规则配置： 统计和封禁对象 IP：表示统计同一个客户端IP发起攻击的频率。 会话：表示统计同一个客户端会话发起攻击的频率。 说明 WAF会尝试在请求响应中，通过setcookie方法插入以acw_tc开头的Cookie，来标记不同的客户端会话。 自定义：表示统计具有同样请求特征的对象发起攻击的频率。 您可以通过以下方式指定请求特征： 自定义Header：表示统计包含指定Header的攻击请求的频率。 自定义参数：表示统计包含指定参数的攻击请求的频率。 自定义Cookie：表示统计包含指定Cookie的攻击请求的频率。 规则详情 支持修改如下参数：检测时间范围、针对当前防护对象请求次数超过、且404响应码比例超过、封禁时间、不存在的目录数量超过。 扫描工具封禁： 开启该功能后，WAF对来自常见扫描工具（例如Sqlmap、AWVS、Nessus、Appscan、Webinspect、Netsparker、Nikto、Rsas等）的请求，按防护规则配置的规则动作处置。
   规则动作	选择当请求命中该规则时，要执行的防护动作。可选项： 拦截：表示拦截命中规则的请求，并向发起请求的客户端返回拦截响应页面。 说明 WAF默认使用统一的拦截响应页面，您可以通过自定义响应功能，自定义拦截响应页面。更多信息，请参见设置自定义响应规则配置拦截响应页面。 观察：表示不拦截命中规则的请求，只通过日志记录请求命中了规则。您可以通过WAF日志，查询命中当前规则的请求，分析规则的防护效果（例如，是否有误拦截等）。 重要 只有开通日志服务，您才可以使用日志查询功能。更多信息，请参见开启或关闭日志服务。 观察模式方便您试运行首次配置的规则，待确认规则没有产生误拦截后，再将规则设置为拦截模式。 说明 您可以通过安全报表，查询拦截类、观察类防护规则的命中详情。更多信息，请参见安全报表。
   生效对象	从已添加的防护对象及对象组中，选择要应用该模板的防护对象和防护对象组。 一个防护对象或对象组只能关联到当前防护模块下的一个模板。关于添加防护对象和对象组的具体操作，请参见配置防护对象和防护对象组。

   新建的规则模板默认开启。您可以在规则模板列表执行如下操作：

   • 查看模板关联的防护对象/组的数量。

   • 通过模板开关，开启或关闭模板。

   • 编辑或删除规则模板。

   • 单击规则模板名称左侧的图标，查看和管理规则模板包含的规则。

     • 解除当前封禁IP：单击解封当前封禁IP，直接解除由该功能封禁的IP。

       重要

       • 仅高频扫描封禁、目录遍历封禁支持解除当前封禁IP功能。

       • 模板且规则开启时解除当前封禁IP功能可用。

后续步骤

您可以在安全报表页面的扫描防护页签，查询防护规则的防护详情。更多信息，请参见IP黑名单、自定义规则、扫描防护、CC防护或区域封禁。

相关文档

• 如果您想了解WAF 3.0的防护对象、防护模块及防护流程等信息，请参见防护配置概述。

• 如果您想使用API创建防护模板，请参见CreateDefenseTemplate - 创建防护模板。

• 如果您想创建一个基础防护规则，并配置规则内容，请参见CreateDefenseRule - 创建防护规则。