网站接入Web应用防火墙后,您可以为其开启扫描防护功能。扫描防护帮助网站自动阻断包含指定特征的访问请求,例如请求源IP在短期内发起多次Web攻击或目录遍历攻击、请求源IP来自常见扫描工具或阿里云恶意扫描攻击IP库。

前提条件

  • 已开通Web应用防火墙实例,且实例满足以下要求:
    • 包年包月实例:实例版本是高级版及以上规格。
      重要 高级版实例只支持使用默认扫描防护策略,不支持自定义扫描防护策略。如需自定义高频Web攻击封禁目录遍历防护的防护策略,则实例版本必须是企业版及以上规格。
    • 按量计费实例:已在账单与套餐中心,开启Web入侵防护模块下自定义扫描防护功能。

      更多信息,请参见账单与套餐中心(按量2.0版本)

      按量2.0-自定义扫描防护
  • 已完成网站接入。具体操作,请参见使用教程

背景信息

扫描防护功能包括以下防护策略:

  • 高频Web攻击封禁:自动封禁在短时间内发起多次Web攻击的客户端IP。支持自定义防护策略。封禁期间支持手动解封。
  • 目录遍历防护:自动封禁在短时间内发起多次目录遍历攻击的客户端IP。支持自定义防护策略。封禁期间支持手动解封。
  • 扫描工具封禁:自动阻断常见扫描工具IP的访问请求。支持封禁的扫描工具包括Sqlmap、AWVS、Nessus、Appscan、Webinspect、Netsparker、Nikto、Rsas等。
  • 协同防御:自动阻断阿里云全球恶意扫描攻击IP库中IP的访问请求。

操作步骤

  1. 登录Web应用防火墙控制台
  2. 在顶部菜单栏,选择Web应用防火墙实例的资源组和地域(中国内地非中国内地)。
  3. 在左侧导航栏,选择防护配置 > 网站防护
  4. 网站防护页面上方,切换到要设置的域名。切换域名
  5. 单击访问控制/限流页签,定位到扫描防护区域,完成以下功能配置。扫描防护
    说明 扫描防护下任意功能开启后,所有网站请求默认都会经过扫描防护的检测。您可以通过设置访问控制/限流白名单,让满足条件的请求忽略扫描防护的检测。更多信息,请参见设置访问控制/限流白名单
    • 高频Web攻击封禁:开启或关闭高频Web攻击封禁。
      配置高频Web攻击封禁的防护策略
      1. 开启高频Web攻击封禁。
      2. 单击前去配置
      3. 规则设置对话框,配置以下参数:检测时间范围(秒)、Web攻击次数超过(次)、封禁IP(秒)。 规则设置

        规则释义:如果某个客户端IP在指定的检测时间范围内发起的Web攻击次数超过指定数量,则在指定的封禁IP时长内阻断该IP的访问请求。

        说明 建议您使用设置参考,单击选择一种内置的配置模式(宽松模式严格模式正常模式),并在此基础上进行调整。
      4. 单击确定

      解除当前封禁IP:单击解封当前封禁IP,直接解除由该功能封禁的IP。

    • 目录遍历防护:开启或关闭目录遍历防护。
      配置目录遍历防护的防护策略
      1. 开启目录遍历防护。
      2. 单击前去配置
      3. 规则设置对话框,配置以下参数:检测时间范围(秒)、请求总次数超过(次)、且404响应码占比超过(%)、封禁IP(秒)、目录数量规则设置

        规则释义:如果某个客户端IP在指定的检测时间范围内发起的请求总次数超过指定数量且404响应码占比超过指定比例,且在指定的检测时间范围内请求访问的目录数量超过指定值,则在指定的封禁IP时长内阻断该IP的访问请求。

        说明 建议您使用设置参考,单击选择一种内置的配置模式(宽松模式严格模式正常模式),并在此基础上进行调整。
      4. 单击确定

      解除当前封禁IP:单击解封当前封禁IP,直接解除由该功能封禁的IP。

    • 扫描工具封禁:开启或关闭扫描工具封禁。

      开启后,智能识别常见的扫描工具行为。如果访问行为满足扫描特征,将一直阻断其访问请求。关闭后,将不再拦截扫描行为。

    • 协同防御:开启或关闭协同防御。

      开启后,自动阻断来自阿里云全球恶意扫描攻击IP库中IP的访问请求。