接入Web应用防火墙后,如果需要自动封禁在短时间内进行多次Web攻击的客户端IP,您可以开启恶意IP惩罚。传统的Web应用防火墙针对IP-URL维度进行拦截。当判定一个请求是攻击行为后,单次阻断该请求。而实际上,攻击者们可能利用多IP持续不断地在对您的网站进行Web攻击,单次阻断往往不够高效。针对这种情况,WAF提供恶意IP惩罚功能。当一个IP被WAF识别到正在进行持续的Web攻击行为时,WAF帮助您自动封禁在短时间内进行多次Web攻击的客户端恶意IP。本文主要介绍恶意IP惩罚的开启和设置。
1、登录Web应用防火墙控制台。
2、在左侧导航栏,单击网站配置。
3、在网站配置页面定位到要设置的域名,在操作栏单击防护配置。
4、在防护配置页面,打开Web防护页签,定位到恶意IP惩罚模块,开启开关如下图。点击蓝色笔按钮,可以修改防护阈值。
攻击阈值:设置统计Web攻击阈值,在检测时长内,超过Web攻击阈值时,将对其进行封禁。
检测时长:检测的单位时长。
封禁时间:拦截攻击IP访问Host的时间。
上图设置的含义是:每1分钟统计IP的Web攻击次数,超过50次时,对IP进行封禁,120s内此IP访问Host将会被拦截。