Web Application Firewall：掃描防護

背景資訊

模板類型

前提條件

• 已開通訂用帳戶版WAF 3.0或隨用隨付版WAF 3.0服務。

• 已將Web業務添加為WAF 3.0的防護對象和防護對象組。

建立掃描防護模板

WAF提供初始預設防護模板，防護模板預設啟用，如需啟用自訂的規則，必須建立一個防護模板，並配置相關規則。如果您希望建立新掃描防護模板，請按照以下步驟進行建立。

1. 登入Web Application Firewall3.0控制台。在頂部功能表列，選擇WAF執行個體的資源群組和地區（中国内地、非中国内地）。

2. 在左側導覽列，選擇防护配置 > Web 核心防护。

3. 在Web 核心防护頁面下方扫描防护地區，單擊新建模板。

4. 在扫描防护面板，完成以下配置，單擊确定。

   配置項	說明
   模板名称	為該模板設定一個名稱。 長度為1~255個字元，支援中文和大小寫英文字母，可包含數字、半形句號（.）、底線（_）和短劃線（-）。
   是否设置为默认模板	預設防護模板無需設定生效對象，預設應用於所有未關聯到自訂防護模板的防護對象和對象組（包括後續新增、從自訂防護模板中移除的防護對象和對象組），您也可以手動將它們從預設範本中移出。一個防護模組只允許設定一個預設範本並只能在建立模板時設定。
   规则配置	設定掃描防護規則。掃描防護模板只有一套規則，規則分為以下三個部分： 高频扫描封禁 開啟該功能後，預設按如下配置生效：某個IP（统计和封禁对象）在60秒（检测时间范围）內，觸發當前防護對象下Web核心防護規則的次數大於20次（Web 核心防护规则触发），並且觸發的不同防護規則的數量大於2個（触发规则数大于），則將該IP拉入到黑名單1800秒（封禁时间），並按防護規則配置的規則動作處置。 您可以單擊高级设置，修改規則配置： 統計和封鎖對象 IP：表示統計同一個用戶端IP發起攻擊的頻率。 会话：表示統計同一個用戶端工作階段發起攻擊的頻率。 說明 我们会尝试在response中通过setcookie方法插入以acw_tc开头的cookie来标记不同的客户端会话，选择此项将拉黑触发规则的acw_tc cookie值。 账号：表示統計同一個帳號發起攻擊的頻率。 說明 账号维度的封禁，需要在防护对象-设置中配置账号/token的提取方式才可以生效。 自定义：表示統計具有同樣請求特徵的對象發起攻擊的頻率。 您可以通過以下方式指定請求特徵： 自定义Header：表示統計包含指定Header的攻擊請求的頻率。 自定义参数：表示統計包含指定參數的攻擊請求的頻率。 自定义Cookie：表示統計包含指定Cookie的攻擊請求的頻率。 規則詳情 支援修改如下參數：检测时间范围、Web 核心防护规则触发、封禁时间、触发规则数大于。 目录遍历封禁 開啟該功能後，預設按如下配置生效：如果某個IP（统计和封禁对象）在10秒（检测时间范围）內，針對當前防護對象的請求次數超過50次（针对当前防护对象请求次数超过）、請求的不存在的目錄數量超過50個（不存在的目录数量超过），並且請求響應中404響應碼佔比超過70%（且404响应码比例大于等于），則將該IP拉入到黑名單，並按防護規則配置的規則動作處置。 說明 目錄掃描的統計排除了.js 和 .png等靜態網頁檔案類型。 您可以單擊高级设置，修改規則配置： 統計和封鎖對象 IP：表示統計同一個用戶端IP發起攻擊的頻率。 会话：表示統計同一個用戶端工作階段發起攻擊的頻率。 說明 我们会尝试在response中通过setcookie方法插入以acw_tc开头的cookie来标记不同的客户端会话，选择此项将拉黑触发规则的acw_tc cookie值。 账号：表示統計同一個帳號發起攻擊的頻率。 說明 账号维度的封禁，需要在防护对象-设置中配置账号/token的提取方式才可以生效。 自定义：表示統計具有同樣請求特徵的對象發起攻擊的頻率。 您可以通過以下方式指定請求特徵： 自定义Header：表示統計包含指定Header的攻擊請求的頻率。 自定义参数：表示統計包含指定參數的攻擊請求的頻率。 自定义Cookie：表示統計包含指定Cookie的攻擊請求的頻率。 規則詳情 支援修改如下參數：检测时间范围、针对当前防护对象请求次数超过、且404响应码比例大于等于、封禁时间、不存在的目录数量超过。 扫描工具封禁： 開啟該功能後，WAF對來自常見掃描工具（例如Sqlmap、AWVS、Nessus、Appscan、Webinspect、Netsparker、Nikto、Rsas等）的請求，按防護規則配置的規則動作處置。
   规则动作	選擇當請求命中該規則時，要執行的防護動作。可選項： 拦截：表示攔截命中規則的請求，並向發起請求的用戶端返回攔截響應頁面。 說明 WAF預設使用統一的攔截響應頁面，您可以通過自訂響應功能，自訂攔截響應頁面。更多資訊，請參見配置自訂響應頁面。 观察：表示不攔截命中規則的請求，只通過日誌記錄請求命中了規則。您可以通過WAF日誌，查詢命中當前規則的請求，分析規則的防護效果（例如，是否有誤攔截等）。 重要 只有開通Log Service，您才可以使用日誌查詢功能。更多資訊，請參見開啟或關閉Log Service。 观察模式方便您試運行首次配置的規則，待確認規則沒有產生誤攔截後，再將規則設定為拦截模式。 說明 您可以通過安全报表，查詢攔截類、觀察類防護規則的命中詳情。更多資訊，請參見安全報表。
   生效对象	從已添加的配置防護對象和防護對象組中，選擇要應用該模板的配置防護對象和防護對象組。 一個防護對象或對象組只能關聯一個掃描防護模板。如果您設定了預設防護模板，預設所有未關聯到自訂防護模板的防護對象和對象組勾選為生效；當您沒有設定預設範本，則不會預設勾選防護對象與對象組為生效。生效對象均支援手動修改。

   建立的防護模板預設開啟。您可以在防護模板列表執行如下操作：

   • 查看模板關聯的防护对象/组的數量。

   • 通過模板开关，開啟或關閉模板。

   • 编辑或删除防護模板。

   • 單擊防護模板名稱左側的表徵圖，查看和管理防護模板包含的規則。

     • 解除當前封鎖IP：單擊解封当前封禁IP，直接解除由該功能封鎖的IP。

       重要

       • 僅高频扫描封禁、目录遍历封禁支援解除當前封鎖IP功能。

       • 模板且規則開啟時解封当前封禁IP功能可用。

後續步驟

您可以在安全报表頁面的扫描防护頁簽，查詢防護規則的防護詳情。更多資訊，請參見安全報表。

相關文檔

• 如果您想瞭解WAF 3.0的防護對象、防護模組及防護流程等資訊，請參見防護配置概述。

• 如果您想使用API建立防護模板，請參見建立防護模板。

• 如果您想建立一個Web核心防護規則，並配置規則內容，請參見建立Web核心防護規則。