接入Web應用防火墻(Web Application Firewall,簡稱WAF)后,您可以設置掃描防護規則,識別掃描行為和掃描器特征,阻止攻擊者或掃描器對網站的大規模掃描行為,幫助Web業務降低被入侵的風險并減少掃描帶來的垃圾流量。本文介紹如何創建掃描防護規則。
背景信息
掃描防護規則分為以下類型:
高頻掃描封禁:將短時間內多次觸發當前防護對象下基礎防護規則的攻擊源,自動拉入黑名單,在一段時間內對該攻擊源的所有請求執行攔截、觀察處置。
目錄遍歷封禁:將短時間內訪問當前防護對象下大量無效目錄(不包含圖片等靜態文件)的攻擊源,自動拉入黑名單,在一段時間內對該攻擊源的所有請求執行攔截、觀察處置。
掃描工具封禁:對來自常見掃描工具(例如,Sqlmap、AWVS、Nessus、Appscan、Webinspect、Netsparker、Nikto、Rsas等)的請求,執行攔截、觀察處置。
前提條件
已開通WAF 3.0服務。具體操作,請參見開通包年包月WAF 3.0、開通按量付費WAF 3.0。
已將Web業務添加為WAF 3.0的防護對象。具體操作,請參見配置防護對象和防護對象組。
創建掃描防護規則模板
內置一套默認規則模板,規則模板默認啟用,如需啟用自定義規則,必須新建一個規則模板,并配置相關規則。如果您希望創建新掃描防護規則模板,請按照以下步驟進行創建。
僅包年包月高級版、包年包月企業版及包年包月旗艦版包含默認開啟的默認規則模板。
登錄Web應用防火墻3.0控制臺。在頂部菜單欄,選擇WAF實例的資源組和地域(中國內地、非中國內地)
在左側導航欄,選擇
在Web基礎防護頁面下方掃描防護區域,單擊新建模板。
說明如果您是第一次新建掃描防護規則模板,您也可以在Web基礎防護頁面上方的掃描防護卡片區域,單擊立即配置。
在新建模板 - 掃描防護面板,完成以下配置,單擊確定。
配置項
說明
模板名稱
為該模板設置一個名稱。
長度為1~255個字符,支持中文和大小寫英文字母,可包含數字、半角句號(.)、下劃線(_)和短劃線(-)。
是否設置為默認模板
選擇是否將該模板設置為當前防護模塊的默認模板。
一個防護模塊只允許設置一個默認模板。默認模板無需設置生效對象,默認應用于所有未關聯到自定義規則模板的防護對象和對象組(包括后續新增、從自定義規則模板中移除的防護對象和對象組)。
規則配置
設置掃描防護規則。掃描防護規則模板只有一套規則,規則分為以下三個部分:
高頻掃描封禁
開啟該功能后,默認按如下配置生效:某個IP(統計和封禁對象)在60秒(檢測時間范圍)內,觸發當前防護對象下基礎防護規則的次數大于20次(基礎防護規則觸發),并且觸發的不同防護規則的數量大于2個(觸發規則數大于),則將該IP拉入到黑名單1800秒(封禁時間),并按防護規則配置的規則動作處置。
您可以單擊高級設置,修改規則配置:
IP:表示統計同一個客戶端IP發起攻擊的頻率。
會話:表示統計同一個客戶端會話發起攻擊的頻率。
說明WAF會嘗試在請求響應中,通過
setcookie方法插入以acw_tc開頭的Cookie,來標記不同的客戶端會話。自定義:表示統計具有同樣請求特征的對象發起攻擊的頻率。
您可以通過以下方式指定請求特征:
自定義Header:表示統計包含指定Header的攻擊請求的頻率。
自定義參數:表示統計包含指定參數的攻擊請求的頻率。
自定義Cookie:表示統計包含指定Cookie的攻擊請求的頻率。
支持修改如下參數:檢測時間范圍、基礎防護規則觸發、封禁時間、觸發規則數大于。
目錄遍歷封禁
開啟該功能后,默認按如下配置生效:如果某個IP(統計和封禁對象)在10秒(檢測時間范圍)內,針對當前防護對象的請求次數超過50次(針對當前防護對象請求次數超過)、請求的不存在的目錄數量超過50個(不存在的目錄數量超過),并且請求響應中404響應碼占比超過70%(且404響應碼比例超過),則將該IP拉入到黑名單,并按防護規則配置的規則動作處置。
說明目錄掃描的統計排除了
.js和.png等靜態網頁文件類型。您可以單擊高級設置,修改規則配置:
IP:表示統計同一個客戶端IP發起攻擊的頻率。
會話:表示統計同一個客戶端會話發起攻擊的頻率。
說明WAF會嘗試在請求響應中,通過
setcookie方法插入以acw_tc開頭的Cookie,來標記不同的客戶端會話。自定義:表示統計具有同樣請求特征的對象發起攻擊的頻率。
您可以通過以下方式指定請求特征:
自定義Header:表示統計包含指定Header的攻擊請求的頻率。
自定義參數:表示統計包含指定參數的攻擊請求的頻率。
自定義Cookie:表示統計包含指定Cookie的攻擊請求的頻率。
支持修改如下參數:檢測時間范圍、針對當前防護對象請求次數超過、且404響應碼比例超過、封禁時間、不存在的目錄數量超過。
掃描工具封禁:
開啟該功能后,WAF對來自常見掃描工具(例如Sqlmap、AWVS、Nessus、Appscan、Webinspect、Netsparker、Nikto、Rsas等)的請求,按防護規則配置的規則動作處置。
規則動作
選擇當請求命中該規則時,要執行的防護動作。可選項:
攔截:表示攔截命中規則的請求,并向發起請求的客戶端返回攔截響應頁面。
說明WAF默認使用統一的攔截響應頁面,您可以通過自定義響應功能,自定義攔截響應頁面。更多信息,請參見設置自定義響應規則配置攔截響應頁面。
觀察:表示不攔截命中規則的請求,只通過日志記錄請求命中了規則。您可以通過WAF日志,查詢命中當前規則的請求,分析規則的防護效果(例如,是否有誤攔截等)。
重要只有開通日志服務,您才可以使用日志查詢功能。更多信息,請參見開啟或關閉日志服務。
觀察模式方便您試運行首次配置的規則,待確認規則沒有產生誤攔截后,再將規則設置為攔截模式。
說明您可以通過安全報表,查詢攔截類、觀察類防護規則的命中詳情。更多信息,請參見安全報表。
生效對象
從已添加的防護對象及對象組中,選擇要應用該模板的防護對象和防護對象組。
一個防護對象或對象組只能關聯到當前防護模塊下的一個模板。關于添加防護對象和對象組的具體操作,請參見配置防護對象和防護對象組。
新建的規則模板默認開啟。您可以在規則模板列表執行如下操作:
查看模板關聯的防護對象/組的數量。
通過模板開關,開啟或關閉模板。
編輯或刪除規則模板。
單擊規則模板名稱左側的
圖標,查看和管理規則模板包含的規則。解除當前封禁IP:單擊解封當前封禁IP,直接解除由該功能封禁的IP。
重要僅高頻掃描封禁、目錄遍歷封禁支持解除當前封禁IP功能。
模板且規則開啟時解除當前封禁IP功能可用。
后續步驟
您可以在安全報表頁面的掃描防護頁簽,查詢防護規則的防護詳情。更多信息,請參見IP黑名單、自定義規則、掃描防護、CC防護或區域封禁。
相關文檔
如果您想了解WAF 3.0的防護對象、防護模塊及防護流程等信息,請參見防護配置概述。
如果您想使用API創建防護模板,請參見CreateDefenseTemplate - 創建防護模板。
如果您想創建一個基礎防護規則,并配置規則內容,請參見CreateDefenseRule - 創建防護規則。