全部產品
Search

搜尋本產品

    Edge Security Acceleration:配置掃描防護

    文件中心

    Edge Security Acceleration:配置掃描防護

    更新時間:Oct 29, 2024

    掃描防護模組通過識別掃描行為和掃描器特徵,阻止攻擊者或掃描器對網站的大規模掃描行為,對攻擊源執行攔截操作或自動拉入黑名單,協助Web業務降低被入侵的風險並減少掃描帶來的垃圾流量。

    前提條件

    背景資訊

    掃描防護規則分為以下類型:

    • 高頻掃描封鎖:將短時間內多次觸發當前防護對象下基礎防護規則的攻擊源,自動拉入黑名單,在一段時間內對該攻擊源的所有請求執行攔截、觀察處置。

    • 目錄遍曆封鎖:將短時間內訪問當前防護對象下大量無效目錄的攻擊源,自動拉入黑名單,在一段時間內對該攻擊源的所有請求執行攔截、觀察處置。

    • 掃描工具封鎖:對來自常見掃描工具(例如,Sqlmap、AWVS、Nessus、Appscan、Webinspect、Netsparker、Nikto、Rsas等)的請求,執行攔截、觀察處置。

    建立防護策略 - 掃描防護

    首次配置掃描防護模組時,您必須建立一個掃描防護規則模板,並配置相關規則。

    1. 登入DCDN控制台

    2. 在左側導覽列,單擊WAF防護 > 防護策略

    3. 防護策略頁面,單擊建立策略

    4. 建立防護策略頁面,配置防護資訊。

      配置模組

      配置項

      說明

      策略資訊

      策略類型

      選擇掃描防護

      策略名稱稱

      自訂填寫策略名稱稱,支援輸入中文字元、英文字元(大小寫)、數字(0~9)及底線(_),最大輸入64個字元。

      設定為預設策略

      選擇是否將該原則設定為當前防護策略類型的預設策略。

      預設策略無需設定生效防護網域名稱,預設應用於所有未關聯到自訂防護策略的防護網域名稱(包括後續新增、從自訂防護策略中移除的防護網域名稱)。

      說明

      • 一種策略類型只能設定一個預設策略,預設策略建立後無法更換。

      • 若當前策略類型已有預設策略,則該開關不可配置。

      規則資訊

      規則

      選擇當請求命中該規則時,要執行的防護動作。可選項:

      • 攔截:表示攔截命中規則的請求,並向發起請求的用戶端返回攔截響應頁面。

      • 觀察:表示不攔截命中規則的請求。

      觀察模式方便您試運行首次配置的規則,待確認規則沒有產生誤攔截後,再將規則設定為攔截模式。

      高頻掃描封鎖

      狀態

      開啟或關閉高頻掃描封鎖。

      預設配置:如果某個攻擊源(即封鎖對象,預設為IP)在檢測時間範圍60秒內,基礎防護規則引發的次數大於20次,並且觸發防護規則數大於2條,則將該攻擊源拉入到黑名單,封鎖時間為30分鐘(在30分鐘內按照配置的防護規則,攔截或觀察該攻擊源的所有請求)。

      您可以單擊修改配置,自訂參數配置,具體請參見下行表格。

      封鎖對象

      選擇要統計的攻擊源的類型。可選項:

      • IP:表示統計同一個用戶端IP發起攻擊的頻率。

      • 會話:表示統計同一個用戶端工作階段發起攻擊的頻率。

        說明

        WAF會嘗試在請求響應中,通過setcookie方法插入以acw_tc開頭的Cookie,來標記不同的用戶端工作階段。

      • 自訂:表示統計具有同樣請求特徵的對象發起攻擊的頻率。您可以通過以下方式指定請求特徵:

        • 自訂Header:表示統計包含指定Header的攻擊請求的頻率。

        • 自訂參數:表示統計包含指定參數的攻擊請求的頻率。

        • 自訂Cookie:表示統計包含指定Cookie的攻擊請求的頻率。

      檢測時間範圍

      設定檢測HTTP請求的時間範圍。

      • 取值範圍:5~1800。

      • 單位:秒。

      基礎防護規則引發

      檢測時間範圍內,設定允許單個統計對象觸發當前防護對象下基礎防護規則的最大次數。

      取值範圍:3~50000。

      觸發規則數大於

      檢測時間範圍內,設定允許單個統計對象觸發當前防護對象下不同基礎防護規則的數量。

      取值範圍:1~50。

      封鎖時間

      對命中當前規則的對象,設定封鎖其請求的時間長度。

      • 取值範圍:60~86400。

      • 單位:秒。

      目錄遍曆封鎖

      狀態

      開啟或關閉目錄遍曆封鎖。

      預設配置:如果某個攻擊源(即封鎖對象,預設為IP)在檢測時間範圍10秒內,對防護對象請求超過50次,請求404響應碼比例超過70%,並且請求不存在的目錄數量超過50個,則將該攻擊源拉入黑名單,封鎖時間為30分鐘(在30分鐘內按照配置的防護規則,攔截或觀察該攻擊源的所有請求)。

      您可以單擊修改配置,自訂參數配置,具體請參見下行表格。

      封鎖對象

      選擇要統計的攻擊源的類型。可選項:

      • IP:表示統計同一個用戶端IP發起攻擊的頻率。

      • 會話:表示統計同一個用戶端工作階段發起攻擊的頻率。

        說明

        WAF會嘗試在請求響應中,通過setcookie方法插入以acw_tc開頭的Cookie,來標記不同的用戶端工作階段。

      • 自訂:表示統計具有同樣請求特徵的對象發起攻擊的頻率。您可以通過以下方式指定請求特徵:

        • 自訂Header:表示統計包含指定Header的攻擊請求的頻率。

        • 自訂參數:表示統計包含指定參數的攻擊請求的頻率。

        • 自訂Cookie:表示統計包含指定Cookie的攻擊請求的頻率。

      檢測時間範圍

      設定檢測時間範圍。

      • 取值範圍:5~1800。

      • 單位:秒。

      對防護對象請求超過

      檢測時間範圍內,設定允許單個統計對象對單個網域名稱發起請求次數的最大值。

      取值範圍:3~50000。

      404響應碼比例超過

      設定404響應碼佔比的最大值。

      • 取值範圍:1~100。

      • 單位:%(百分比)。

      不存在的目錄數量超過

      檢測時間範圍內,設定允許單個統計對象訪問的不存在的目錄(不包含圖片等靜態檔案)的最大數量。

      取值範圍:2~50000。

      封鎖時間

      對命中當前規則的對象,設定封鎖其請求的時間長度。

      • 取值範圍:60~86400。

      • 單位:秒。

      掃描工具封鎖

      狀態

      開啟或關閉掃描工具封鎖。

      防護網域名稱

      防護網域名稱

      選擇需要接入當前防護策略中的網域名稱。

      說明

      一個防護網域名稱只能關聯到同一策略類型的一種防護策略中。

      若該網域名稱已關聯至同一策略類型的其他防護策略,選擇為該網域名稱配置當前策略後,則該網域名稱的策略資訊將被替換為當前策略。

    5. 單擊建立策略

      建立的防護策略預設開啟。

    相關API