配置扫描防护

文章概述

在攻防场景中，攻击者常常借助自动化工具或特定方式对目标进行漏洞扫描，针对性地发起攻击。前期部署扫描防护可提升攻击者的扫描门槛和成本，从而增强防护效果。

扫描防护包括以下两个子功能：

• 扫描工具检测：对常见扫描工具（如AWVS、Nessus、AppScan、Rsas、Sqlmap）的请求特征进行检测，并根据特征进行拦截。
• 反复违规检测：通过统计某对象在周期内违反WAF内置规则的类型与次数，判断其是否为可疑扫描行为，并对该对象执行相应处理。

配置场景

扫描防护功能适用于以下场景：

• 直接拦截带有扫描特征的请求，避免网站漏洞暴露。
• 阻断恶意攻击者的持续渗透，防止网站未知漏洞被利用。

操作步骤

1. 登录网宿控制台，在已开通的产品下，找到正在使用的安全产品并点击进入。
2. 前往 防护配置>安全策略 页面。
3. 定位到需配置安全策略的域名，点击编辑按钮，进入安全策略编辑页面。
4. 选择 WAF>扫描防护 页签。

开启扫描工具检测

• 设置处理动作为“拦截”或“监控”。
• 点击 部署 使配置生效。

开启反复违规检测

• 设置处理动作为“拦截”或“监控”。
• 设置统计对象，可选择“IP”或“IP+JA3指纹”。
• 设置反复违规检测的统计周期。
• 配置统计周期内，统计对象被WAF内置规则拦截的规则类型阈值。
• 配置统计周期内，统计对象被WAF内置规则拦截的请求阈值。
• 设置处理动作持续时间。
• 点击 部署 使配置生效。

关闭扫描工具检测

• 设置处理动作为“不使用”。
• 点击 部署 使配置生效。

关闭反复违规检测

• 设置处理动作为“不使用”。
• 点击 部署 使配置生效。