掃描防護模組通過識別掃描行為和掃描器特徵,阻止攻擊者或掃描器對網站的大規模掃描行為,對攻擊源執行攔截操作或自動拉入黑名單,協助Web業務降低被入侵的風險並減少掃描帶來的垃圾流量。配置掃描防護規則在ESA控制台,選擇網站管理,單擊目標網站操作列的配置WAF。在網站詳情頁面,選擇安全防護 > WAF > 掃描防護規則。在掃描防護規則頁簽,單擊新增規則集。填寫規則集名稱。如果請求匹配以下規則...:設定要匹配的使用者請求特徵,合格請求才會執行掃描防護的各個防護規則,請求匹配欄位請參見規則運算式的組成。觸發防護類型…:設定匹配規則後執行的防護動作類型。說明 高頻掃描封鎖與目錄遍曆封鎖請至少選擇1個進行配置。配置高頻掃描封鎖將短時間內多次觸發當前防護對象下託管規則的攻擊源,自動拉入黑名單,在一段時間內對該攻擊源的所有請求執行攔截、觀察處置。參數說明封鎖對象選擇要統計的攻擊源的類型。可選項:Cookie 值:統計包含指定Cookie的攻擊請求的頻率。標題:統計包含指定Header的攻擊請求的頻率。客戶端IP:表示統計同一個用戶端IP發起攻擊的頻率。會話:表示統計同一個用戶端工作階段發起攻擊的頻率。URI 指定查詢字串:統計包含指定參數的攻擊請求的頻率。檢測時間範圍(秒)設定檢測HTTP請求的時間範圍。取值範圍:5~1800。單位:秒。基礎防護規則引發(次)在檢測時間範圍內,設定允許單個統計對象觸發當前防護對象下基礎防護規則的最大次數。取值範圍:3~50000。觸發規則數大於(條)在檢測時間範圍內,設定允許單個統計對象觸發當前防護對象下不同基礎防護規則的數量。取值範圍:1~50。封鎖時間(秒)對命中當前規則的對象,設定封鎖其請求的時間長度。取值範圍:60~86400。單位:秒。配置目錄遍曆封鎖將短時間內訪問當前防護對象下大量無效目錄的攻擊源,自動拉入黑名單,在一段時間內對該攻擊源的所有請求執行攔截、觀察處置。參數說明封鎖對象選擇要統計的攻擊源的類型。可選項:Cookie 值:統計包含指定Cookie的攻擊請求的頻率。標題:統計包含指定Header的攻擊請求的頻率。客戶端IP:表示統計同一個用戶端IP發起攻擊的頻率。會話:表示統計同一個用戶端工作階段發起攻擊的頻率。URI 指定查詢字串:統計包含指定參數的攻擊請求的頻率。檢測時間範圍(秒)設定檢測HTTP請求的時間範圍。取值範圍:5~1800。單位:秒。對防護對象請求超過(次)在檢測時間範圍內,設定允許單個統計對象對單個網域名稱發起請求次數的最大值。取值範圍:3~50000。404響應碼比例超過(%)設定404響應碼佔比的最大值。取值範圍:1~100。單位:%(百分比)。不存在的目錄超過數量(個)在檢測時間範圍內,設定允許單個統計對象訪問的不存在的目錄(不包含圖片等靜態檔案)的最大數量。取值範圍:2~50000。封鎖時間(秒)對命中當前規則的對象,設定封鎖其請求的時間長度。取值範圍:60~86400。單位:秒。開啟或關閉掃描工具封鎖對來自常見掃描工具(例如,Sqlmap、AWVS、Nessus、Appscan、Webinspect、Netsparker、Nikto、Rsas等)的請求,執行攔截、觀察的處置。最終執行…:當匹配到的請求命中規則時,要執行的防護動作,詳細資料請參見WAF。單擊確定。不同套餐的支援情況功能項EntranceProPremiumEnterprise支援的掃描防護規則條數不支援5條10條20條