使用云服务器防火墙如何屏蔽恶意IP访问：恶意IP惩罚

功能描述

传统的Web应用防火墙针对IP-URL维度进行拦截。当判定一个请求是攻击行为后，单次阻断该请求。而实际上，攻击者们可能持续不断地在对您的网站进行扫描、攻击，研究防护策略并尝试绕过防火墙，单次阻断的处理方式在这种情况下往往不够高效。

针对这种情况，云盾Web应用防火墙提供恶意IP惩罚功能。当一个IP被WAF识别到正在进行持续的攻击行为时，WAF自动封禁该恶意IP。

云盾WAF利用阿里云平台积累的海量恶意IP库和机器学习功能，对发起攻击的IP的行为、攻击频率进行学习分析，生成判定规则。当发起攻击的IP的行为被判定为持续攻击行为，直接阻断这个IP的所有访问请求。

说明 包年包月模式的WAF实例均支持恶意IP惩罚。按量付费的WAF实例必须在 功能与规格中为 Web攻击防护启用高级防护，才能使用恶意IP惩罚。具体操作，请参考功能与规格配置。 
 

操作步骤

参照以下步骤，启用恶意IP惩罚功能：

说明 执行以下操作前，请确保已将网站接入WAF进行防护。具体操作请参考CNAME接入指南。

1. 登录云盾Web应用防火墙控制台。

2. 前往管理 > 网站配置页面，并在页面上方选择WAF所在地区（中国大陆、海外地区）。

3. 选择要操作的域名，单击其操作列下的防护配置。

4. 在恶意IP惩罚下，启用防护。默认的防护规则是：当WAF在1分钟内拦截到一个IP发动的2次Web攻击时，就封禁该IP的访问请求6分钟。

   说明 如果您不想使用恶意IP惩罚功能，您可以在此页面关闭防护。

   
   
   

测试示例

启用恶意IP惩罚后，当您的网站遭受扫描器扫描或黑客持续攻击时，WAF在很短的时间内就会识别并阻断攻击IP的所有访问行为，极大增加黑客的攻击成本。以下是启用该功能后的实际效果测试。

启用恶意IP惩罚功能后，使用黑客工具SQLMAP对已防护的网站进行SQL注入攻击扫描。