恶意 IP 封禁
恶意 IP 封禁可以让 UWAF 在当前域名受到在一定的周期内统计到来自单 IP 的多次攻击时间内遭受到多少次攻击后,自动对攻击请求的来源 IP 施加惩罚措施,即将该 IP 加入到域名的黑名单中以进行封禁处理。如果前方有第三方代理,在未获取准确来源 IP 的情况下,可能造成误封操作。
恶意 IP 封禁受黑白名单状态控制,仅当黑白名单状态为开启时生效。
各类规则的优先级参见规则优先级。
!> 注意:
恶意 IP 功能依赖于域名黑名单规则,原理是 UWAF 统计某 IP 的攻击请求后自动生成黑名单规则,规则生效可能存在延时,以实际生效时间为准。可以在【功能设置】->【IP 管理】->【黑名单】当中查看被恶意 IP 封堵规则封堵的 IP,触发恶意 IP 封禁规则而被加入黑名单的 IP 的加入方式为“自动拦截规则”。
添加规则
可以根据攻击类型和攻击频率添加规则,添加了攻击类型为“全部”的规则时,无法再添加其他攻击类型的封禁规则;添加了具体的攻击类型的规则时,无法再添加攻击类型为“全部”的封禁规则。
规则参数说明
| 参数 | 说明 |
|---|---|
| 统计周期 | 统计攻击请求的周期 |
| 攻击类型 | 统计哪些指定的攻击类型,默认为全部,只能设置一条全部类型的规则,不同攻击类型的规则也只能设置一条 |
| 次数阈值 | 特定的攻击类型的攻击请求次数 |
| 封禁时长 | 加入黑名单后,该黑名单的生效时间 |
攻击请求定义:触发默认 UWAF 规则及自定义 UWAF 规则(不包括⽤户自定义的放行规则)的请求及触发 CC 规则的请求(不包括后续的拦截请求)。