功能介紹

邊緣安全加速平臺-安全與加速服務提供的掃描器訪問攔截支持自動識別常見掃描器特征，一旦發現掃描器訪問將對其進行攔截。

背景信息

邊緣安全加速平臺-安全團隊基于對常見掃描器的特征分析，輸出掃描器識別模型，能夠精準識別并攔截主流掃描器包括但不限于：Sqlmap、AWVS、Nessus、Appscan、Webinspect、Netsparker、Nikto、Rsas等。

前提條件

• 已經訂購邊緣安全加速平臺-安全與加速服務，若未訂購，請參見服務開通。
• 在控制臺新增域名，請參見添加服務域名。
• 開通基礎版及以上版本，支持使用掃描器防護功能。

掃描防護邏輯

針對掃描器訪問攔截功能，邊緣安全加速平臺-安全與加速服務支持掃描器特征識別與掃描器訪問攔截兩個模塊。

掃描器特征識別

通過請求中的掃描器或自動化工具特征識別掃描器，形成兩百余條掃描器識別規則，能夠滿足常見的掃描器識別需求。

掃描器訪問攔截

經過掃描器特征識別之后，安全與加速服務判斷請求來自于掃描器，將通過掃描器訪問攔截規則對請求進行攔截。

配置規則：基于IP或IP+UA的粒度，對請求命中掃描器類型次數作為命中觸發閾值，達到閾值后觸發處理動作。支持配置處理動作為攔截或告警。

操作步驟

1. 登錄。
2. 在左側導航欄中選擇【安全能力】，進入【訪問控制/限流】菜單，并在左側域名列表選擇您要防護的域名。
3. 進入防護能力-高級安全防護-【掃描器訪問攔截】詳細設置。

配置說明

配置項	是否必填	說明
防護開關	是	開啟狀態，規則生效；關閉狀態，規則不生效。
規則名稱	是	自定義規則名稱。
規則描述	否	對規則內容進行描述說明。
掃描器類型	是	選擇需要識別的掃描器類型，支持選擇多個。
統計粒度	是	選擇請求次數統計粒度。 選擇IP表示當某個IP的請求次數達到觸發條件，則執行處理動作。 選擇IP+UA則表示某個IP下某種UA的請求次數達到觸發條件，則執行處理動作。
觸發條件	是	設置在一定時間周期內，請求命中掃描器類型達到的次數，執行處理動作；設置在一定時間周期內，請求命中狀態碼達到的次數，執行處理動作。
處理動作	是	支持告警、攔截。
處理動作持續時間	是	設置處理動作持續時間。最大設置168小時。
例外	否	支持輸入引起誤報的掃描器識別規則ID，可提交工單聯系后臺客服人員配置。

支持復制操作

若您有批量復制當前域名的訪問控制規則至其余域名的場景，可通過復制操作實現快速配置。

復制防護開關

使用場景：當您需要將一批域名的訪問控制策略總開關都置為關閉時，可以通過規則復制-復制防護開關，將當前域名的訪問控制防護開關復制到其他域名上。

操作步驟：

1. 進入訪問控制模塊；
2. 選擇規則復制-復制防護開關；
3. 選擇您要調整的域名，并且僅支持選擇【已啟用】的域名。

配置頁面：

復制防護規則

復制類型：追加

使用場景：當您需要追加所選規則到目標域名，保留目標域名原規則，可以通過規則復制-復制規則來操作。

操作步驟：

1. 進入【訪問控制/限流】-【掃描器訪問攔截】模塊；
2. 選中一條或多條控制ID，選中規則復制-復制規則，復制類型選擇【追加】；
3. 選擇您要復制規則的域名（支持復制上限域名為200個，只能選中已啟用的域名）；
4. 點擊復制，則完成規則批量新增的操作。

復制類型：覆蓋

使用場景：當您需要將所選規則覆蓋目標域名，不保留目標域名原規則，可以通過規則復制-復制規則來操作。

操作步驟：

1. 進入【訪問控制/限流】-【掃描器訪問攔截】模塊；
2. 選中一條控制ID，選中規則復制-復制規則，復制類型選擇【覆蓋】；
3. 選擇您要復制規則的域名（支持復制上限域名為200個，只能選中已啟用、且包含相同防護范圍策略的域名）；
4. 點擊復制，則完成規則批量新增的操作。

復制類型：更新

使用場景：當您需要匹配目標域名中相同防護范圍的規則，更新其余配置項（如處理動作等），可以通過規則復制-復制規則來操作。

操作步驟：

1. 進入【訪問控制/限流】-【掃描器訪問攔截】模塊；
2. 選中一條控制ID，選中規則復制-復制規則，復制類型選擇【更新】；
3. 選擇您要復制規則的域名（支持復制上限域名為200個，只能選中已啟用、且包含相同防護范圍策略的域名）；
4. 點擊復制，則完成規則批量新增的操作。

注意
復制類型為追加：域名列表展示域名狀態為【已啟用】的域名
復制類型為覆蓋：域名列表只展示訪問控制含相同防護范圍，并且域名狀態為【已啟用】的域名；
復制類型為更新：域名列表只展示具有相同檢測掃描器類型的規則并且域名狀態為【已啟用】的域名。

批量操作

支持用戶對同一域名下的多項訪問控制規則進行批量的啟用、停用、刪除及調整處理動作。

操作步驟：

1. 進入訪問控制模塊；
2. 勾選需要批量操作的規則；
3. 下拉選擇批量操作的動作。

相關操作

• 當您需要防護高頻Web攻擊，支持設置攻擊挑戰。
• 當您需要防護目錄遍歷攻擊時，可以設置規則防護，使用【敏感防護規則集】，能夠滿足一般情況下的目錄遍歷防護需求。
• 當您需要防護威脅情報已知惡意IP時，支持設置IP情報規則。