网站接入Web应用防火墙后,您可以为其开启扫描防护功能。扫描防护帮助网站自动阻断包含指定特征的访问请求,例如请求源IP在短期内发起多次Web攻击或目标遍历攻击、请求源IP来自常见扫描工具或阿里云恶意扫描攻击IP库。您可以根据实际需求配置扫描防护的防护策略。
前提条件
- 已开通Web应用防火墙实例。更多信息,请参见开通Web应用防火墙。
- 已完成网站接入。更多信息,请参见添加域名。
- Web应用防火墙实例的规格必须满足以下条件:
- 包年包月开通的Web应用防火墙实例,实例套餐必须是企业版及以上规格,才能自定义高频Web攻击封禁和目录遍历防护的防护策略。高级版及以下规格的套餐,只能使用默认防护策略开启扫描防护功能。
- 按量付费开通的Web应用防火墙实例,必须在功能与规格设置中开启Web攻击防护的高级防护模式,才能自定义高频Web攻击封禁和目录遍历防护的防护策略。Web攻击防护的基础防护模式下,只能使用默认防护策略开启扫描防护功能。更多信息,请参见功能与规格设置(按量付费模式)。
背景信息
扫描防护功能包括高频Web攻击封禁、目录遍历防护、扫描工具封禁、协同防御。
- 高频Web攻击封禁:自动封禁在短时间内发起多次Web攻击的客户端IP。如果某个客户端IP在一定时间内发起Web攻击请求超过一定数量,则阻断该IP的访问请求一定时间。支持自定义防护策略。封禁期间支持手动解封。
- 目录遍历防护:自动封禁在短时间内发起多次目录遍历攻击的客户端IP。如果某个客户端IP在一定时间内的总请求次数超过一定数量,且响应码404占比超过总请求的一定比额,则阻断该IP的访问请求一定时间。支持自定义防护策略。封禁期间支持手动解封。
- 扫描工具封禁:自动阻断常见扫描工具IP的访问请求。支持封禁的扫描工具包括Sqlmap、AWVS、Nessus、Appscan、Webinspect、Netsparker、Nikto、Rsas等。
- 协同防御:自动阻断阿里云全球恶意扫描攻击IP库中IP的访问请求。
操作步骤
- 登录Web应用防火墙控制台。
- 在顶部菜单栏,选择Web应用防火墙实例的资源组和地域(中国内地、海外地区)。
- 在左侧导航栏,单击。
- 在网站防护页面上方,切换到要设置的域名。
- 单击访问控制/限流页签,定位到访问控制/限流模块下的扫描防护,完成以下功能配置。
- 高频Web攻击封禁:开启或关闭高频Web攻击封禁。
配置高频Web攻击封禁的防护策略
- 开启高频Web攻击封禁。
- 单击前去配置。
- 在规则设置对话框,配置以下参数:检测时间范围(秒)、Web攻击次数超过(次)、封禁IP(秒)。
规则释义:如果某个客户端IP在指定的检测时间范围内发起的Web攻击次数超过指定数量,则在指定的封禁IP时长内阻断该IP的访问请求。
说明 建议您使用设置参考,单击选择一种内置的配置模式(宽松模式、严格模式、正常模式),并在此基础上进行调整。 - 单击确定。
解除当前封禁IP:单击解封当前封禁IP,直接解除由该功能封禁的IP。
- 目录遍历防护:开启或关闭目录遍历防护。
配置目录遍历防护的防护策略
- 开启目录遍历防护。
- 单击前去配置。
- 在规则设置对话框,配置以下参数:检测时间范围(秒)、请求总次数超过(次)、且404响应码占比超过(%)、封禁IP(秒)、目录数量。
规则释义:如果某个客户端IP在指定的检测时间范围内发起的请求总次数超过指定数量且404响应码占比超过指定比例,或者在指定的检测时间范围内请求访问的目录数量超过指定值,则在指定的封禁IP时长内阻断该IP的访问请求。
说明 建议您使用设置参考,单击选择一种内置的配置模式(宽松模式、严格模式、正常模式),并在此基础上进行调整。 - 单击确定。
解除当前封禁IP:单击解封当前封禁IP,直接解除由该功能封禁的IP。
- 扫描工具封禁:开启或关闭扫描工具封禁。
开启后,智能识别常见的扫描工具行为。如果访问行为满足扫描特征,将一直阻断其访问请求。关闭后,将不再拦截扫描行为。
- 协同防御:开启或关闭协同防御。
开启后,自动阻断来自阿里云全球恶意扫描攻击IP库中IP的访问请求。
- 高频Web攻击封禁:开启或关闭高频Web攻击封禁。
在文档使用中是否遇到以下问题
更多建议
匿名提交