下一代防火墙AF

深信服下一代防火墙AF融合边界对抗威胁所需的专业安全能力,通过简单易用的方式交付,全面防护各类威胁,并具备多重智能模型和智能联动手段,可持续对抗不断出现的各类新风险。
点击可切换产品版本
知道了
不再提醒
AF8.0.85
{{sendMatomoQuery("下一代防火墙AF","漏洞防扫描")}}

漏洞防扫描

更新时间:2023-06-06

用于设置Web网站被扫描的行为检测,页面如下。

扫描行为特征:设置来访数据匹配哪些行为特征后,判定为扫描行为,并进行下一步的处置。该功能目前具备的行为特征说明如下:

404页面检测:每N个响应统计一次,如果404页面比例超过配置的百分比,认为是扫描器在扫描网站。具体的频率和比例,可以点击后面的<设置>进行设置,如下图。

[WAF规则拦截频率检测]:通过判断源IP在单位时间内被Web应用防护规则拦截的次数来确定是否为扫描器。具体的频率设置,可以点击后面的<设置>进行设置,如下图。

目录访问频率:通过判断源IP每秒访问目录的次数,来确定是否为扫描器。具体的频率设置,可以点击后面的<设置>进行设置,如下图。

使用不常见的HTTP请求方法:触发HTTP方法过滤规则的行为将会作为扫描器的行为特征之一,需要开启方法过滤。

匹配强扫描规则:通过强扫描规则进行匹配来检测匹配上规则特征的IP是否为扫描器。

匹配弱扫描规则:通过弱扫描规则进行匹配来检测匹配上规则特征的IP是否为扫描器。

敏感文件扫描:一般扫描器会尝试访问各种站点敏感文件,比如配置、密码、数据库文件等。通过对这些敏感文件的检测来确定IP是否是扫描行为。

扫描IP封锁时间:当源IP被匹配为扫描行为后,会根据该选项设置的封锁时间,对源IP进行指定时间的封锁。封锁期,该源IP所有经过AF的数据均被拦截。

隐藏服务器信息:开启此功能后,会智能识别并隐藏服务器的相关版本信息。

1.以下两种场景不建议开启防扫描功能:

2.对业务访问者IP进行源地址转换;

3.统一使用代理服务器访问业务。