功能介绍

边缘云WAF提供的扫描防护功能支持自动识别常见扫描器特征，一旦发现扫描器访问将对其进行拦截。

注意：目前控制台尚未开放扫描器防护策略功能，如有防护需求请通过提交工单给天翼云客服，由其人工操作开启。

背景信息

边缘云WAF安全团队基于对常见扫描器的特征分析，输出扫描器识别模型，能够精准识别并拦截主流扫描器包括但不限于：Sqlmap、AWVS、Nessus、Appscan、Webinspect、Netsparker、Nikto、Rsas等。

前提条件

• 已开通Web应用防火墙（边缘云版）
• 已新增域名并成功接入WAF，具体操作请见WAF接入
• 开通基础版及以上版本支持使用扫描器防护功能

扫描防护逻辑

针对扫描器防护功能，边缘云WAF支持扫描器特征识别与扫描器访问拦截两个模块。

扫描器特征识别

通过请求中的扫描器或自动化工具特征识别扫描器，形成两百余条扫描器识别规则，能够满足常见的扫描器识别需求。

扫描器访问拦截

经过扫描器特征识别之后，边缘云WAF判断请求来自于扫描器，将通过扫描器访问拦截规则对请求进行拦截。

配置规则：基于IP或IP+UA的粒度，对请求命中扫描器类型次数作为命中触发阈值，达到阈值后触发处理动作。支持配置处理动作为拦截或告警

相关操作

• 当您需要防护高频Web攻击，支持设置攻击挑战
• 当您需要防护目录遍历攻击时，可以设置规则防护【敏感防护规则集】，能够满足一般情况下的目录遍历防护需求
• 当您需要防护威胁情报已知恶意IP时，支持设置IP情报规则