当访问者的IP、Cookie或Params恶意请求被WAF拦截时,您可以通过配置攻击惩罚,
使WAF按配置的攻击惩罚时长来自动封禁访问者。例如,访问者的源IP
(192.168.1.1)为恶意请求,如果您配置了IP攻击惩罚拦截时长为500秒,该攻击惩罚 生效后,则该IP被WAF拦截时,WAF将封禁该IP,时长为500秒。
说明 准配置完成后,您还需要在Web基础防护、精准访问防护或黑白名单规则中选择 攻击惩罚,该功能才能生效。
● 添加或修改防护规则后,规则生效需要等待几分钟。规则生效后,您可以在“防 护事件”页面查看防护效果。
● 在配置Cookie或Params恶意请求的攻击惩罚标准前,您需要在域名详情页面设置 对应的流量标识。相关操作请参见配置攻击惩罚的流量标识。
步骤2 进入防护策略配置入口,如图10-45所示。
图10-45 防护策略配置入口
步骤3 在“攻击惩罚”配置框中,用户可根据自己的需要更改“状态”,单击“自定义攻击 惩罚标准”,进入攻击惩罚标准页面,如图10-46所示。
图10-46 攻击惩罚配置框
步骤4 在攻击惩罚标准的列表左上角,单击“添加攻击惩罚”。
步骤5 在弹出的对话框中,添加攻击惩罚标准,如图10-47所示,参数说明如表10-11所示。
图10-47 添加攻击惩罚
表10-11 攻击惩罚参数说明
参数 参数说明 取值样例
拦截类型 支持以下拦截方式:
● 长时间IP拦截
● 短时间IP拦截
● 长时间Cookie拦截
● 短时间Cookie拦截
● 长时间Params拦截
● 短时间Params拦截
长时间IP拦截
拦截时长(秒) 拦截时长需要设置为整数,且设置 范围为:
● 300<长时间拦截时长≤1800
● 短时间拦截时长≤300
500
规则描述 可选参数,设置该规则的备注信
配置示例-Cookie 拦截攻击惩罚
假如防护域名“www.example.com”已接入WAF,访问者IP XXX.XXX.248.195为恶意 请求,而您需要对来自该IP地址Cookie标记为jsessionid的访问请求封禁10分钟。您可 以参照以下操作步骤验证封禁效果。
步骤1 在“网站设置”页面,单击“www.example.com”,进入域名基本信息页面。
步骤2 配置防护域名的Cookie流量标识,即“Session标记”。
用户指南 10 配置防护规则
图10-49 流量标识
步骤3 添加一条拦截时长为600秒的“长时间Cookie拦截”的攻击惩罚标准。
图10-50 添加 Cookie 拦截攻击惩罚
步骤4 开启攻击惩罚。
图10-51 攻击惩罚配置框
步骤5 添加一条黑白名单规则,拦截XXX.XXX.248.195,且“攻击惩罚”选择“长时间Cookie 拦截”。
图10-52 选择攻击惩罚规则
步骤6 清理浏览器缓存,在浏览器中访问“http://www.example.com”页面。
当XXX.XXX.248.195源IP访问页面时,会被WAF拦截。当WAF检测到来自该源IP的 Cookie标记为jsessionid访问请求时,WAF将封禁该访问请求,时长为10分钟。
图10-53 WAF 拦截攻击请求
步骤7 返回Web应用防火墙管理控制台,在左侧导航树中,单击“防护事件”,进入“防护 事件”页面,您可以查看该防护事件。
图10-54 查看防护事件-攻击惩罚
----结束
用户指南 10 配置防护规则