功能介绍
边缘安全加速平台-安全与加速服务提供的扫描器访问拦截支持自动识别常见扫描器特征,一旦发现扫描器访问将对其进行拦截。
背景信息
边缘安全加速平台-安全团队基于对常见扫描器的特征分析,输出扫描器识别模型,能够精准识别并拦截主流扫描器包括但不限于:Sqlmap、AWVS、Nessus、Appscan、Webinspect、Netsparker、Nikto、Rsas等。
前提条件
扫描防护逻辑
针对扫描器访问拦截功能,边缘安全加速平台-安全与加速服务支持扫描器特征识别与扫描器访问拦截两个模块。
扫描器特征识别
通过请求中的扫描器或自动化工具特征识别扫描器,形成两百余条扫描器识别规则,能够满足常见的扫描器识别需求。
扫描器访问拦截
经过扫描器特征识别之后,安全与加速服务判断请求来自于扫描器,将通过扫描器访问拦截规则对请求进行拦截。
配置规则:基于IP或IP+UA的粒度,对请求命中扫描器类型次数作为命中触发阈值,达到阈值后触发处理动作。支持配置处理动作为拦截或告警。
操作步骤
- 登录边缘安全加速平台控制台。
- 在左侧导航栏中选择【安全能力】,进入【访问控制/限流】菜单,并在左侧域名列表选择您要防护的域名。
- 进入防护能力-高级安全防护-【扫描器访问拦截】详细设置。
配置说明
| 配置项 | 是否必填 | 说明 |
|---|---|---|
| 防护开关 | 是 | 开启状态,规则生效;关闭状态,规则不生效。 |
| 规则名称 | 是 | 自定义规则名称。 |
| 规则描述 | 否 | 对规则内容进行描述说明。 |
| 扫描器类型 | 是 | 选择需要识别的扫描器类型,支持选择多个。 |
| 统计粒度 | 是 | 选择请求次数统计粒度。 选择IP表示当某个IP的请求次数达到触发条件,则执行处理动作。 选择IP+UA则表示某个IP下某种UA的请求次数达到触发条件,则执行处理动作。 |
| 触发条件 | 是 | 设置在一定时间周期内,请求命中扫描器类型达到的次数,执行处理动作。 |
| 处理动作 | 是 | 支持告警、拦截。 |
| 处理动作持续时间 | 是 | 设置处理动作持续时间。最大设置168小时。 |
支持复制操作
若您有批量复制当前域名的访问控制规则至其余域名的场景,可通过复制操作实现快速配置。
复制防护开关
使用场景:当您需要将一批域名的访问控制策略总开关都置为关闭时,可以通过规则复制-复制防护开关,将当前域名的访问控制防护开关复制到其他域名上。
操作步骤:
- 进入访问控制模块;
- 选择规则复制-复制防护开关;
- 选择您要调整的域名,并且仅支持选择【已启用】的域名。
配置页面:
复制防护规则
复制类型:追加
使用场景:当您需要追加所选规则到目标域名,保留目标域名原规则,可以通过规则复制-复制规则来操作。
操作步骤:
- 进入【访问控制/限流】-【扫描器访问拦截】模块;
- 选中一条或多条控制ID,选中规则复制-复制规则,复制类型选择【追加】;
- 选择您要复制规则的域名(支持复制上限域名为200个,只能选中已启用的域名);
- 点击复制,则完成规则批量新增的操作。
复制类型:覆盖
使用场景:当您需要将所选规则覆盖目标域名,不保留目标域名原规则,可以通过规则复制-复制规则来操作。
操作步骤:
- 进入【访问控制/限流】-【扫描器访问拦截】模块;
- 选中一条控制ID,选中规则复制-复制规则,复制类型选择【覆盖】;
- 选择您要复制规则的域名(支持复制上限域名为200个,只能选中已启用、且包含相同防护范围策略的域名);
- 点击复制,则完成规则批量新增的操作。
复制类型:更新
使用场景:当您需要匹配目标域名中相同防护范围的规则,更新其余配置项(如处理动作等),可以通过规则复制-复制规则来操作。
操作步骤:
- 进入【访问控制/限流】-【扫描器访问拦截】模块;
- 选中一条控制ID,选中规则复制-复制规则,复制类型选择【更新】;
- 选择您要复制规则的域名(支持复制上限域名为200个,只能选中已启用、且包含相同防护范围策略的域名);
- 点击复制,则完成规则批量新增的操作。
注意复制类型为追加:域名列表展示域名状态为【已启用】的域名
复制类型为覆盖:域名列表只展示访问控制含相同防护范围,并且域名状态为【已启用】的域名;
复制类型为更新:域名列表只展示具有相同检测扫描器类型的规则并且域名状态为【已启用】的域名。
批量操作
支持用户对同一域名下的多项访问控制规则进行批量的启用、停用、删除及调整处理动作。
操作步骤:
- 进入访问控制模块;
- 勾选需要批量操作的规则;
- 下拉选择批量操作的动作。
