接入Web应用防火墙（Web Application Firewall，简称WAF）后，您可以设置扫描防护规则，识别扫描行为和扫描器特征，阻止攻击者或扫描器对网站的大规模扫描行为，帮助Web业务降低被入侵的风险并减少扫描带来的垃圾流量。本文介绍如何创建扫描防护模板以及扫描防护规则。

新建时，对没有关联自定义防护模板的防护对象/组默认勾选为生，后续新增的防护对象也会自动加入到默认防护模板中，可手动调整。

自定义防护模板

根据业务需要，自定义的防护模板。需要手动创建，适用于单一初始默认防护模板无法满足业务需求的场景。

需要设置生对象，只对关联到防护模板的防护对象和对象组生。

已开通包年包月版WAF 3.0或按量付费版WAF 3.0服务。

已将Web业务添加为WAF 3.0的防护对象和防护对象组。

WAF提供初始默认防护模板，防护模板默认启用，如需启用自定义的规则，须新建一个防护模板，并配置相关规则。如果您希望创建新扫描防护模板，请按照以下步骤进行创建。

登录Web应用防火墙3.0控制台。在顶部菜单栏，选择WAF实例的资源组和地域（中国内地、非中国内地）。

在左侧导航栏，选择防护配置 > Web 核心防护。

在Web 核心防护页面下方扫描防护区域，单击新建模板。

在新建模板 - 扫描防护面板，完成以下配置，单击确定。

账号：表示统计同一个账号发起攻击的频率。

自定义：表示统计具有同样请求特征的对象发起攻击的频率。

目录遍历封禁

开启该功能后，默认按如下配置生：如果某个IP（统计和封禁对象）在10秒（检测时间范围）内，设备保温施工针对当前防护对象的请求次数超过50次（针对当前防护对象请求次数超过）、请求的不存在的目录数量超过50个（不存在的目录数量超过），并且请求响应中404响应码占比超过70%（且404响应码比例超过），则将该IP拉入到黑名单，并按防护规则配置的规则动作处置。

账号：表示统计同一个账号发起攻击的频率。

自定义：表示统计具有同样请求特征的对象发起攻击的频率。

扫描工具封禁：

开启该功能后，WAF对来自常见扫描工具（例如Sqlmap、AWVS、Nessus、Appscan、Webinspect、Netsparker、Nikto、Rsas等）的请求，按防护规则配置的规则动作处置。

规则动作

选择当请求命中该规则时，要执行的防护动作。可选项：

拦截：表示拦截命中规则的请求，并向发起请求的客户端返回拦截响应页面。

观察：表示不拦截命中规则的请求，只通过日志记录请求命中了规则。您可以通过WAF日志，查询命中当前规则的请求，分析规则的防护果（例如，是否有误拦截等）。

观察模式方便您试运行次配置的规则，待确认规则没有产生误拦截后，再将规则设置为拦截模式。

生对象

一个防护对象或对象组只能关联一个扫描防护模板。如果您设置了默认防护模板，默认所有未关联到自定义防护模板的防护对象和对象组勾选为生；当您没有设置默认模板，则不会默认勾选防护对象与对象组为生。生对象均支持手动修改。

您可以在安全报表页面的扫描防护页签，查询防护规则的防护详情。更多信息，请参见安全报表。

如果您想了解WAF 3.0的防护对象、防护模块及防护流程等信息，请参见防护配置概述。

如果您想使用API创建防护模板，请参见创建防护模板。

如果您想创建一个Web核心防护规则，并配置规则内容，请参见创建Web核心防护规则。

相关词条：铁皮保温施工 隔热条PA66生产设备 锚索