Web Application Firewall:Praktik Terbaik untuk Proteksi Situs Web

Sebelum Anda mulai

Semua deskripsi dalam topik ini didasarkan pada fakta bahwa Anda telah mengaktifkan fitur proteksi situs web yang direkomendasikan. Jika belum, aktifkan dan konfigurasikan sesuai deskripsi fitur.

Kecuali dinyatakan lain, Anda dapat mengonfigurasi fitur proteksi situs web yang direkomendasikan di halaman Website Protection. Untuk mengakses halaman Website Protection, ikuti langkah-langkah berikut:

1. Masuk ke Konsol WAF. Di bilah navigasi atas, pilih grup sumber daya dan wilayah tempat instance WAF diterapkan. Wilayah bisa berupa Chinese Mainland atau Outside Chinese Mainland.

2. Di panel navigasi kiri, pilih Protection Configurations > Website Protection.

3. Di bagian atas halaman Website Protection, pilih nama domain yang ingin Anda konfigurasi dari daftar drop-down Switch Domain Name.

Ikhtisar

Topik ini menyediakan fitur proteksi situs web yang direkomendasikan berdasarkan peran dan kebutuhan bisnis. Anda dapat memutuskan fitur mana yang akan diaktifkan sesuai kebutuhan bisnis Anda.

• Saya baru mengenal WAF. Saya tidak yakin dengan kebutuhan keamanan saya

• Saya seorang insinyur O&M. Saya membutuhkan layanan yang andal dan pemecahan masalah yang nyaman

• Saya seorang insinyur keamanan. Saya perlu mencegah intrusi web secara komprehensif

• Saya ingin mencapai proteksi terkuat dan secara radikal memblokir serangan

• Situs web saya sering di-crawl dan berisiko mengalami pelanggaran data dan perubahan

Saya baru mengenal WAF. Saya tidak yakin dengan kebutuhan keamanan saya

Anda mungkin telah membeli instance WAF berdasarkan kebutuhan perlindungan terklasifikasi atau niat untuk meningkatkan tingkat keamanan perusahaan Anda. Dalam kedua kasus tersebut, Anda dapat menambahkan situs web Anda ke WAF dan menggunakan konfigurasi proteksi default WAF. Konfigurasi proteksi default cukup untuk melindungi situs web Anda dari sebagian besar ancaman web dasar.

Saya seorang insinyur O&M. Saya membutuhkan layanan yang andal dan pemecahan masalah yang nyaman

Kami sarankan Anda mengaktifkan fitur proteksi situs web berikut setelah menambahkan situs web Anda ke WAF:

• Website Whitelist: Anda dapat mengonfigurasi daftar putih untuk mengizinkan permintaan yang memenuhi kondisi tertentu tanpa perlu melakukan pemeriksaan.

  Prosedur: Di halaman Website Protection, klik Website Whitelist di pojok kanan atas. Di halaman Daftar Putih Situs Web, buat daftar putih. Untuk informasi lebih lanjut, lihat Konfigurasikan Daftar Putih Situs Web.

  Untuk implementasi proteksi yang lebih tepat, Anda juga dapat mengonfigurasi daftar putih untuk modul proteksi tertentu. Untuk informasi lebih lanjut, lihat topik-topik berikut:

  • Daftar Putih untuk Pencegahan Intrusi Web: Permintaan akses tepercaya tidak dideteksi oleh Mesin Aturan Perlindungan RegEx.

  • Daftar Putih untuk Keamanan Data: Permintaan akses tepercaya tidak dideteksi oleh Pencegahan Kebocoran Data, Pencegahan Perubahan Situs Web, atau Keamanan Akun.

  • Daftar Putih untuk Manajemen Bot: Permintaan akses tepercaya tidak dideteksi oleh Intelijen Ancaman Bot, Pengendalian Risiko Data, Algoritma Cerdas, atau Proteksi Aplikasi.

  • Daftar Putih untuk Kontrol Akses/Pembatasan: Permintaan akses tepercaya tidak dideteksi oleh Proteksi Banjir HTTP, Daftar Hitam IP, Proteksi Pemindaian, atau Kebijakan Proteksi Kustom.

• Blacklists: Anda dapat mengonfigurasi daftar hitam alamat IP untuk memblokir permintaan dari alamat IP dan blok CIDR yang tidak relevan dengan bisnis Anda. Anda juga dapat mengonfigurasi daftar hitam wilayah untuk memblokir permintaan dari alamat IP di wilayah tertentu. Misalnya, jika forum pemerintah lokal hanya mengizinkan akses dari alamat IP lokal, Anda dapat menambahkan wilayah lain ke daftar hitam wilayah. Jika situs web Anda tidak memiliki pengguna di luar daratan Tiongkok, Anda dapat menambahkan semua wilayah di luar daratan Tiongkok ke daftar hitam wilayah.

  Prosedur: Di halaman Website Protection, klik tab Access Control/Throttling. Di kartu Blacklists, konfigurasikan parameter yang diperlukan. Untuk informasi lebih lanjut, lihat Konfigurasikan Daftar Hitam.

• Custom Protection Policy: Anda dapat mengonfigurasi daftar kontrol akses (ACL) kustom atau kebijakan pembatasan. Misalnya, Anda dapat menggunakan fitur ini untuk mengizinkan akses ke operasi API hanya dari alamat IP atau agen pengguna tertentu dan mengonfigurasi batas atas untuk jenis permintaan tertentu. Anda juga dapat menggunakan fitur ini untuk mempertahankan diri dari serangan banjir HTTP, serangan crawler, dan beberapa serangan web khusus.

  Prosedur: Di halaman Website Protection, klik tab Access Control/Throttling. Di kartu Custom Protection Policy, konfigurasikan parameter yang diperlukan. Untuk informasi lebih lanjut, lihat Konfigurasikan Kebijakan Proteksi Kustom.

• Account Security: Anda dapat menggunakan fitur ini untuk memantau operasi API terkait autentikasi pengguna, seperti operasi yang digunakan untuk pendaftaran dan login, untuk mendeteksi peristiwa yang dapat mengancam kredensial pengguna. Ancaman tersebut termasuk serangan kamus, serangan brute-force, pendaftaran pengguna spam, sniffing kata sandi lemah, dan serangan banjir Layanan Pesan Singkat (SMS).

  Prosedur: Di halaman Website Protection, klik tab Web Security. Kemudian, temukan kartu Data Security > Account Security dan klik Configure Now. Untuk informasi lebih lanjut, lihat Konfigurasikan Keamanan Akun.

Saya seorang insinyur keamanan. Saya perlu mencegah intrusi web secara komprehensif

Kami sarankan Anda mengaktifkan fitur proteksi situs web berikut setelah menambahkan situs web Anda ke WAF:

• Decoding Settings: Anda dapat menentukan metode dekoding yang didukung untuk mesin WAF berdasarkan skema pengkodean bisnis Anda untuk memaksimalkan proteksi untuk situs web Anda. WAF mengidentifikasi lalu lintas berdasarkan metode dekoding yang didukung. Secara default, WAF mendukung 13 metode dekoding. Anda dapat membatalkan pilihan metode dekoding untuk menghindari parsing yang tidak perlu dan pemblokiran palsu.

  Prosedur: Di halaman Website Protection, klik tab Web Security. Kemudian, temukan kartu Web Intrusion Prevention > Protection Rules Engine dan konfigurasikan Decoding Settings. Untuk informasi lebih lanjut, lihat Konfigurasikan Fitur Mesin Aturan Perlindungan.

• Protection Rule Group: Anda dapat memilih aturan perlindungan dari set aturan perlindungan bawaan berdasarkan formulir, kerangka kerja, dan middleware sistem bisnis Anda. Anda dapat menggunakan aturan tersebut untuk menyesuaikan grup aturan untuk mencegah serangan web dan menerapkan grup aturan ke situs web Anda. Kami sarankan Anda menggunakan fitur ini untuk mengonfigurasi kebijakan untuk mencegah intrusi web ke situs web Anda. Jika Anda ingin mengonfigurasi kebijakan pencegahan untuk URL tunggal, kami sarankan Anda menggunakan fitur Kebijakan Proteksi Kustom.

  Prosedur: Masuk ke Konsol WAF dan pilih Systems > Protection Rule Group di panel navigasi kiri. Di halaman yang muncul, konfigurasikan grup aturan kustom untuk pencegahan serangan web dan terapkan grup aturan ke situs web Anda. Untuk informasi lebih lanjut, lihat Sesuaikan Grup Aturan Perlindungan.

• Custom Protection Policy: Anda dapat mengonfigurasi daftar kontrol akses (ACL) kustom atau kebijakan pembatasan. Misalnya, Anda dapat menggunakan fitur ini untuk mengizinkan akses ke operasi API hanya dari alamat IP atau agen pengguna tertentu dan mengonfigurasi batas atas untuk jenis permintaan tertentu. Anda juga dapat menggunakan fitur ini untuk mempertahankan diri dari serangan banjir HTTP, serangan crawler, dan beberapa serangan web khusus.

  Prosedur: Di halaman Website Protection, klik tab Access Control/Throttling. Di kartu Custom Protection Policy, konfigurasikan parameter yang diperlukan. Untuk informasi lebih lanjut, lihat Konfigurasikan Kebijakan Proteksi Kustom.

• Positive Security Model (Warn): Model keamanan positif dibangun berdasarkan pembelajaran lalu lintas di nama domain saat ini. Model ini menentukan jenis dan panjang parameter permintaan serta apakah parameter tersebut diperlukan. Jika permintaan tidak sesuai dengan karakteristik yang dijelaskan dalam model setelah model dibangun, peringatan akan dihasilkan. Dalam mode Warn, model keamanan positif memungkinkan Anda mendeteksi anomali dan ancaman terhadap bisnis Anda secara efektif. Jika permintaan yang terdeteksi tidak berguna bagi bisnis Anda, Anda dapat mengaktifkan mode Block.

  Prosedur: Di halaman Website Protection, klik tab Web Security. Kemudian, temukan kartu Advanced Protection > Positive Security Model, aktifkan Status, dan atur Mode ke Warn. Untuk informasi lebih lanjut, lihat Konfigurasikan Model Keamanan Positif.

• Scan Protection (High-frequency Web Attack Blocking, Directory Traversal Prevention, Scanner Blocking, dan Collaborative Protection): Anda dapat menggunakan fitur ini untuk mengurangi ancaman yang ditimbulkan oleh pemindai dari berbagai dimensi, seperti intelijen, karakteristik pemindai, dan perilaku pemindaian.

  Prosedur: Di halaman Website Protection, klik tab Access Control/Throttling. Di kartu Scan Protection, aktifkan semua saklar dan tentukan ambang batas yang sesuai. Untuk informasi lebih lanjut, lihat Konfigurasikan Proteksi Pemindaian.

Saya ingin mencapai proteksi terkuat dan secara radikal memblokir serangan

Kami sarankan Anda mengaktifkan fitur proteksi situs web berikut setelah menambahkan situs web Anda ke WAF:

• Protection Rules Engine (Strict rule group)

  Prosedur: Di halaman Website Protection, klik tab Web Security. Kemudian, temukan kartu Web Intrusion Prevention > Protection Rules Engine dan atur Protection Rule Group ke Strict rule group. Untuk informasi lebih lanjut, lihat Konfigurasikan Kebijakan Proteksi Kustom.

• Positive Security Model (Block): Model keamanan positif dibangun berdasarkan pembelajaran lalu lintas di nama domain saat ini. Model ini menentukan jenis dan panjang parameter permintaan serta apakah parameter tersebut diperlukan. Jika permintaan tidak sesuai dengan karakteristik yang dijelaskan dalam model setelah model dibangun, peringatan akan dihasilkan. Untuk mencapai proteksi terkuat, kami sarankan Anda mengaktifkan mode Block.

  Prosedur: Di halaman Website Protection, klik tab Web Security. Kemudian, temukan kartu Advanced Protection > Positive Security Model, aktifkan Status, dan atur Mode ke Block. Untuk informasi lebih lanjut, lihat Konfigurasikan Model Keamanan Positif.

• Scan Protection (High-frequency Web Attack Blocking, Directory Traversal Prevention, Scanner Blocking, dan Collaborative Protection): Anda dapat menggunakan fitur ini untuk mengurangi ancaman yang ditimbulkan oleh pemindai dari berbagai dimensi, seperti intelijen, karakteristik pemindai, dan perilaku pemindaian.

  Prosedur: Di halaman Website Protection, klik tab Access Control/Throttling. Di kartu Scan Protection, aktifkan semua saklar dan tentukan ambang batas yang sesuai. Untuk informasi lebih lanjut, lihat Konfigurasikan Proteksi Pemindaian.

• Blacklists: Anda dapat mengonfigurasi daftar hitam alamat IP untuk memblokir permintaan dari alamat IP dan blok CIDR yang tidak relevan dengan bisnis Anda. Anda juga dapat mengonfigurasi daftar hitam wilayah untuk memblokir permintaan dari alamat IP di wilayah tertentu. Misalnya, jika forum pemerintah lokal hanya mengizinkan akses dari alamat IP lokal, Anda dapat menambahkan wilayah lain ke daftar hitam wilayah. Jika situs web Anda tidak memiliki pengguna di luar daratan Tiongkok, Anda dapat menambahkan semua wilayah di luar daratan Tiongkok ke daftar hitam wilayah.

  Prosedur: Di halaman Website Protection, klik tab Access Control/Throttling. Di kartu Blacklists, konfigurasikan parameter yang diperlukan. Untuk informasi lebih lanjut, lihat Konfigurasikan Daftar Hitam.

Situs web saya sering di-crawl dan berisiko mengalami pelanggaran data dan perubahan

Kami sarankan Anda mengaktifkan fitur proteksi situs web berikut setelah menambahkan situs web Anda ke WAF:

• Data Risk Control: Fitur ini sangat cocok untuk mempertahankan diri dari lalu lintas bot yang dihasilkan oleh skrip atau alat otomatis dan ditujukan untuk operasi API tertentu untuk login, pendaftaran, dan penempatan pesanan.

  Catatan

  Pengendalian risiko data bergantung pada plug-in JavaScript dan hanya berlaku untuk halaman web. Jangan gunakan fitur ini di aplikasi.

  Prosedur: Di halaman Website Protection, klik tab Bot Management. Di kartu Data Risk Control, konfigurasikan parameter yang diperlukan. Untuk informasi lebih lanjut, lihat Konfigurasikan Pengendalian Risiko Data.

• Data Leakage Prevention: Anda dapat menggunakan fitur ini untuk menyaring informasi sensitif dalam konten yang dikembalikan oleh server, seperti halaman abnormal dan kata kunci. Informasi sensitif termasuk nomor ID, nomor kartu bank, nomor telepon, dan kata-kata sensitif, dan ditampilkan setelah masking.

  Prosedur: Di halaman Website Protection, klik tab Web Security. Kemudian, temukan kartu Data Security > Data Leakage Prevention dan konfigurasikan parameter yang diperlukan. Untuk informasi lebih lanjut, lihat Konfigurasikan Pencegahan Kebocoran Data.

• Website Tamper-proofing: Anda dapat menggunakan fitur ini untuk mengunci halaman web tertentu agar terhindar dari pemalsuan konten. Saat halaman web yang terkunci menerima permintaan, halaman yang telah di-cache sebelumnya akan dikembalikan.

  Prosedur: Di halaman Website Protection, klik tab Web Security. Kemudian, temukan kartu Data Security > Website Tamper-proofing dan konfigurasikan parameter yang diperlukan. Untuk informasi lebih lanjut, lihat Konfigurasikan Fitur Pencegahan Perubahan Situs Web.

• Custom Protection Policy: Anda dapat mengaktifkan verifikasi JavaScript untuk halaman web statis yang sering di-crawl untuk memblokir sebagian besar skrip jahat dan program otomatis. Anda juga dapat mengaktifkan verifikasi slider untuk sesi di mana permintaan akses dilakukan dengan frekuensi yang sangat tinggi untuk menerapkan kontrol akses yang lebih rinci.

  Prosedur: Di halaman Website Protection, klik tab Access Control/Throttling. Di kartu Custom Protection Policy, konfigurasikan parameter yang diperlukan. Untuk informasi lebih lanjut, lihat Konfigurasikan Kebijakan Proteksi Kustom.

• Account Security: Anda dapat menggunakan fitur ini untuk memantau operasi API terkait autentikasi pengguna, seperti operasi yang digunakan untuk pendaftaran dan login, untuk mendeteksi peristiwa yang dapat mengancam kredensial pengguna. Ancaman tersebut termasuk serangan kamus, serangan brute-force, pendaftaran pengguna spam, sniffing kata sandi lemah, dan serangan banjir Layanan Pesan Singkat (SMS).

  Prosedur: Di halaman Website Protection, klik tab Web Security. Kemudian, temukan kartu Data Security > Account Security dan klik Configure Now. Untuk informasi lebih lanjut, lihat Konfigurasikan Keamanan Akun.

• Authorized Crawler: Anda dapat menggunakan fitur ini untuk memelihara daftar putih mesin pencari resmi, seperti Google, Bing, Baidu, Sogou, dan Yandex. Pemindai dari mesin pencari ini diizinkan untuk mengakses nama domain Anda.

  Prosedur: Di halaman Website Protection, klik tab Bot Management. Di kartu Authorized Crawler, konfigurasikan parameter yang diperlukan. Untuk informasi lebih lanjut, lihat Konfigurasikan Fitur Pemindai Resmi.

• Bot Threat Intelligence: Fitur ini memberikan informasi tentang alamat IP mencurigakan yang digunakan oleh dialer, pusat data, dan pemindai jahat. Fitur ini juga memelihara perpustakaan alamat IP pemindai jahat. Anda dapat menggunakan fitur ini untuk mencegah pemindai mengakses situs web Anda atau direktori tertentu.

  Prosedur: Di halaman Website Protection, klik tab Bot Management. Di kartu Bot Threat Intelligence, konfigurasikan parameter yang diperlukan. Untuk informasi lebih lanjut, lihat Konfigurasikan Aturan Intelijen Ancaman Bot.

• App Protection: Fitur ini menyediakan komunikasi tepercaya dan perlindungan anti-bot untuk aplikasi asli, dan dapat mengidentifikasi proxy, emulator, dan permintaan dengan tanda tangan yang tidak valid.

  Prosedur: Di halaman Website Protection, klik tab Bot Management. Di kartu App Protection, konfigurasikan parameter yang diperlukan. Untuk informasi lebih lanjut, lihat Konfigurasikan Proteksi Aplikasi.