Mesin aturan perlindungan melindungi situs web Anda dari serangan web umum, termasuk Injeksi SQL, skrip lintas situs (XSS), eksekusi kode remote, dan serangan webshell. Halaman ini menjelaskan cara mengonfigurasi mesin tersebut sesuai dengan lalu lintas Anda, menafsirkan hasil perlindungan, serta merespons ketika permintaan sah diblokir.
Mesin aturan perlindungan tidak mencakup intrusi server yang disebabkan oleh isu keamanan host, seperti akses tidak sah ke ApsaraDB for Redis atau ApsaraDB RDS for MySQL.
Cara kerja
Setelah Anda menambahkan situs web ke WAF, Mesin aturan perlindungan diaktifkan secara default dan menerapkan kelompok aturan Medium. Permintaan masuk dievaluasi berdasarkan kelompok aturan yang aktif. Bergantung pada mode yang Anda pilih:
Block — WAF memblokir permintaan yang cocok dan mencatat serangan tersebut.
Warn — WAF mencatat serangan tetapi tetap meneruskan permintaan.
Konfigurasi Mesin aturan perlindungan
Buka halaman Website Protection untuk melihat dan memperbarui pengaturan Mesin aturan perlindungan. Untuk petunjuk langkah demi langkah, lihat Konfigurasi Mesin aturan perlindungan.
Langkah 1: Pilih kelompok aturan
Pilih kelompok aturan yang sesuai dengan lalu lintas Anda dan toleransi terhadap false positive.
| Kelompok aturan | Deskripsi | Trade-off |
|---|---|---|
| Loose rule group | Memblokir serangan aplikasi web umum | Cakupan deteksi lebih rendah; tingkat false-positive lebih rendah |
| Medium rule group (default) | Memblokir serangan aplikasi web umum dengan cara standar (serangan dapat melewati kebijakan perlindungan) | Deteksi seimbang untuk serangan web umum |
| Strict rule group | Memblokir serangan aplikasi web dengan cara ketat (serangan dapat melewati kebijakan perlindungan kompleks) | Pencocokan lebih agresif; risiko false positive lebih tinggi |
Mulailah dengan Medium rule group default. Beralihlah ke Strict hanya setelah memvalidasi bahwa lalu lintas normal tidak terpengaruh dalam mode Warn (lihat Langkah 2), karena pola pencocokan yang lebih luas pada Strict rule group lebih berpotensi menandai permintaan sah sebagai serangan.
Jika Anda menggunakan WAF Business atau Enterprise di Tiongkok daratan, atau WAF Enterprise di luar Tiongkok daratan, Anda juga dapat menyesuaikan kelompok aturan perlindungan untuk menggabungkan aturan sesuai kebutuhan spesifik Anda.
Langkah 2: Validasi dalam mode Warn sebelum memblokir
Atur Mode ke Warn sebelum mengaktifkan pemblokiran. Dalam mode ini, WAF mencatat potensi serangan tanpa memengaruhi lalu lintas, sehingga Anda dapat mengidentifikasi false positive sebelum berdampak pada pengguna. Menjalankan mode Warn selama satu hingga dua minggu memberikan cukup variasi lalu lintas — termasuk permintaan kasus pinggiran — untuk mengungkap pola yang akan diblokir.
Setelah satu hingga dua minggu, tinjau log serangan di tab Web Intrusion Prevention:
Jika tidak ada lalu lintas normal yang muncul di log, atur Mode ke Block.
Jika lalu lintas normal ditandai sebagai serangan, tangani false positive sebelum beralih ke Block (lihat Tangani false positive).
Jika Anda menambahkan phpMyAdmin dan forum teknologi pengembangan ke WAF untuk perlindungan, WAF mungkin memblokir lalu lintas normal. Jika hal ini terjadi, kami menyarankan agar Anda menghubungi pakar keamanan Alibaba Cloud untuk menyelesaikan masalah tersebut.
Langkah 3: Hindari memicu aturan deteksi dalam aplikasi Anda
Beberapa perilaku aplikasi meningkatkan risiko false positive terlepas dari kelompok aturan yang digunakan. Hindari pola berikut dalam lalu lintas bisnis normal:
Meneruskan pernyataan SQL atau kode JavaScript mentah dalam parameter permintaan HTTP.
Menggunakan kata kunci SQL seperti
UPDATEatauSETdalam path URL — misalnya,www.example.com/abc/update/mod.php?set=1.Mengunggah file berukuran lebih dari 50 MB melalui browser. Gunakan Object Storage Service (OSS) sebagai gantinya.
Lihat hasil perlindungan
Setelah mengaktifkan Mesin aturan perlindungan, lihat hasilnya di Security report > Web Security > tab Web Intrusion Prevention.
Tab tersebut menampilkan catatan serangan dari 30 hari terakhir, dilengkapi grafik dan daftar catatan terperinci. Untuk memeriksa event tertentu:
Pilih Regular Protection dalam filter.
Temukan catatan serangan dan klik View Details.
Gambar berikut menunjukkan contoh permintaan Injeksi SQL yang diblokir oleh WAF.
Tangani false positive
Jika WAF memblokir lalu lintas sah, kami menyarankan agar Anda mengonfigurasi daftar putih untuk URL yang diblokir di bagian Web Intrusion Prevention, lalu menghubungi pakar keamanan Alibaba Cloud untuk menemukan solusi.
Identifikasi URL yang diblokir. Temukan permintaan spesifik di log serangan pada tab Web Intrusion Prevention, dan catat URL mana yang diblokir.
Konfigurasi daftar putih untuk URL yang terdampak. Tambahkan URL tersebut ke daftar putih di bagian Web Intrusion Prevention. Hal ini mengecualikan permintaan tersebut dari pemeriksaan mesin tanpa menonaktifkan perlindungan untuk sisa situs web Anda. Untuk petunjuknya, lihat Konfigurasi daftar putih untuk pencegahan intrusi web.
Hubungi pakar keamanan Alibaba Cloud. Jika daftar putih tidak sepenuhnya menyelesaikan masalah, atau jika cakupan false positive sangat luas, hubungi pakar keamanan Alibaba Cloud untuk analisis dan solusi yang disesuaikan.
Tetap perbarui aturan
WAF memperbarui aturan perlindungan dan menerbitkan bulletin perlindungan untuk mengatasi kerentanan yang diketahui maupun kerentanan nol hari. Untuk memeriksa pembaruan terbaru, buka halaman Product Information. Untuk petunjuknya, lihat Lihat informasi layanan.
Serangan web memiliki lebih dari satu proof of concept (POC). Pakar keamanan Alibaba Cloud melakukan analisis menyeluruh terhadap prinsip kerentanan untuk memastikan bahwa aturan perlindungan yang diterbitkan mencakup semua kerentanan yang telah diungkap maupun yang belum diungkap.