功能介绍
边缘安全加速平台-安全与加速服务提供的扫描器访问拦截支持自动识别常见扫描器特征,一旦发现扫描器访问将对其进行拦截。
背景信息
边缘安全加速平台-安全团队基于对常见扫描器的特征分析,输出扫描器识别模型,能够精准识别并拦截主流扫描器包括但不限于:Sqlmap、AWVS、Nessus、Appscan、Webinspect、Netsparker、Nikto、Rsas等。
前提条件
扫描防护逻辑
针对扫描器访问拦截功能,边缘安全加速平台-安全与加速服务支持扫描器特征识别与扫描器访问拦截两个模块。
扫描器特征识别
通过请求中的扫描器或自动化工具特征识别扫描器,形成两百余条扫描器识别规则,能够满足常见的扫描器识别需求。
扫描器访问拦截
经过扫描器特征识别之后,安全与加速服务判断请求来自于扫描器,将通过扫描器访问拦截规则对请求进行拦截。
配置规则:基于IP或IP+UA的粒度,对请求命中扫描器类型次数作为命中触发阈值,达到阈值后触发处理动作。支持配置处理动作为拦截或告警。
操作步骤
- 登录边缘安全加速平台控制台。
- 在左侧导航栏中选择【安全能力】,进入【访问控制/限流】菜单,并在左侧域名列表选择您要防护的域名。
- 进入防护能力-高级安全防护-【扫描器访问拦截】详细设置。
配置说明
| 配置项 | 是否必填 | 说明 |
|---|---|---|
| 防护开关 | 是 | 开启状态,规则生效;关闭状态,规则不生效。 |
| 规则名称 | 是 | 自定义规则名称。 |
| 规则描述 | 否 | 对规则内容进行描述说明。 |
| 扫描器类型 | 是 | 选择需要识别的扫描器类型,支持选择多个。 |
| 统计粒度 | 是 | 选择请求次数统计粒度。 选择IP表示当某个IP的请求次数达到触发条件,则执行处理动作。 选择IP+UA则表示某个IP下某种UA的请求次数达到触发条件,则执行处理动作。 |
| 触发条件 | 是 | 设置在一定时间周期内,请求命中扫描器类型达到的次数,执行处理动作。 |
| 处理动作 | 是 | 支持告警、拦截。 |
| 处理动作持续时间 | 是 | 设置处理动作持续时间。最大设置168小时。 |
