Konfigurasikan aturan anti-pengumpul data untuk aplikasi

Modul manajemen bot dari Web Application Firewall (WAF) menyediakan fitur konfigurasi berbasis skenario. Anda dapat menggunakan fitur ini untuk mengonfigurasi aturan anti-pengumpul data kustom sesuai kebutuhan bisnis dan melindungi bisnis Anda dari pengumpul data jahat. Topik ini menjelaskan cara mengonfigurasi aturan tersebut.

Informasi latar belakang

Fitur konfigurasi berbasis skenario memungkinkan Anda mengonfigurasi aturan anti-pengumpul data sesuai kebutuhan bisnis. Fitur ini dapat digunakan bersama algoritma cerdas untuk mengidentifikasi trafik pengumpul data secara lebih tepat. Selain itu, fitur ini menangani trafik yang sesuai dengan aturan anti-pengumpul data secara otomatis. Setelah mengonfigurasi aturan, Anda dapat memverifikasinya dalam lingkungan pengujian untuk mencegah dampak buruk pada situs web atau aplikasi akibat konfigurasi yang tidak tepat atau masalah kompatibilitas, seperti positif palsu atau hasil perlindungan yang tidak diinginkan.

Prasyarat

Instance WAF Berlangganan: Jika instance WAF Anda menjalankan edisi Pro, Bisnis, atau Perusahaan, modul Bot Management diaktifkan.
Situs web Anda telah ditambahkan ke WAF. Untuk informasi lebih lanjut, lihat Tutorial.
Anti-Bot SDK telah diintegrasikan ke dalam aplikasi yang ingin Anda lindungi. Untuk informasi lebih lanjut, lihat Integrasi Anti-Bot SDK ke dalam Aplikasi.

Masuk ke Konsol WAF. Di bilah navigasi atas, pilih grup sumber daya dan wilayah tempat instance WAF diterapkan. Wilayah bisa berupa Chinese Mainland atau Outside Chinese Mainland.
Di panel navigasi sebelah kiri, pilih Protection Configurations > Website Protection.
Di bagian atas halaman Website Protection, pilih nama domain yang ingin Anda konfigurasikan perlindungannya dari daftar drop-down Switch Domain Name.
Jika Anda belum membuat aturan anti-pengumpul data, klik tab Bot Management. Di bagian Scenario-specific Configuration, klik Start untuk membuat aturan anti-pengumpul data. Jika Anda telah membuat aturan anti-pengumpul data, klik Add di sudut kanan atas tab Bot Management untuk membuat aturan baru.
Catatan Anda dapat membuat hingga 50 anti-crawler rules untuk sebuah nama domain.

Di langkah Configure Scenarios, konfigurasikan informasi dasar tentang skenario di mana Anda ingin melindungi aplikasi dan klik Next.

Parameter	Deskripsi
Scenario	Tentukan jenis skenario di mana Anda ingin melindungi aplikasi. Contoh: logon, registrasi, dan penempatan pesanan.
Service Type	Pilih Apps untuk melindungi aplikasi iOS dan Android asli. Catatan Aplikasi HTML5 bukan aplikasi iOS atau Android asli. Jika Anda ingin melindungi aplikasi HTML5, atur parameter Service Type menjadi Websites.
Traffic Characteristics	Tambahkan kondisi pencocokan untuk mengidentifikasi trafik yang ditujukan ke aplikasi yang ingin Anda lindungi. Untuk menambahkan kondisi pencocokan, Anda harus menentukan bidang pencocokan, operator logis, dan konten pencocokan. Bidang pencocokan adalah bidang header permintaan HTTP. Untuk informasi lebih lanjut tentang bidang dalam kondisi pencocokan, lihat Bidang dalam kondisi pencocokan. Anda dapat menentukan hingga lima kondisi pencocokan. Penting Jika Anda memasukkan alamat IP, Anda harus menekan Enter.

Di langkah Configure Protection Rules, konfigurasikan aturan anti-pengumpul data dan klik Next.

Parameter	Deskripsi
Check Invalid App Signature	Anda dapat menggunakan fitur ini untuk mendeteksi dan mengontrol permintaan yang memiliki tanda tangan tidak valid atau tidak memiliki tanda tangan. Anda tidak dapat menonaktifkan fitur ini. Anda dapat mengonfigurasi Action untuk menangani permintaan yang memiliki tanda tangan tidak valid atau tidak memiliki tanda tangan.Jika Anda mengatur parameter Tindakan ke Monitor, WAF mengizinkan permintaan ini dan mencatatnya dalam laporan keamanan dan log. Jika Anda mengatur parameter Tindakan ke Blokir, WAF memblokir permintaan ini.
Check Abnormal Device Behavior	Setelah Anda mengaktifkan fitur ini, WAF mendeteksi dan mengontrol permintaan dari perangkat yang memiliki karakteristik abnormal. Karakteristik berikut dari perangkat dianggap sebagai karakteristik abnormal: Use Simulators: Sebuah simulator digunakan. Use Proxies: Sebuah proxy digunakan. Use Rooted Device: Sebuah perangkat root digunakan. Debugging Mode: Mode debugging diaktifkan. Hooking: Teknik `Hooking` digunakan. Multiboxing: Beberapa proses aplikasi yang dilindungi berjalan di perangkat pada saat yang sama. Anda dapat mengatur parameter Tindakan ke Monitor atau Block berdasarkan kebutuhan bisnis Anda.
Action	Anda dapat mengatur parameter ini ke Monitor atau Block. Pengaturan ini berlaku untuk Check Invalid App Signature dan Check Abnormal Device Behaviors.
IP Address Throttling	Setelah Anda mengaktifkan fitur ini, Anda dapat mengonfigurasi kondisi pembatasan untuk menyaring permintaan abnormal. Dengan cara ini, serangan banjir HTTP dapat dikurangi. Anda dapat menentukan kondisi pembatasan untuk alamat IP. Jika jumlah permintaan dari alamat IP dalam periode waktu tertentu melebihi ambang batas, WAF melakukan tindakan monitor atau blokir pada permintaan berikutnya. Anda juga dapat menentukan periode selama tindakan monitor atau blokir dilakukan. Anda dapat menentukan hingga tiga kondisi. Untuk informasi lebih lanjut, lihat Konfigurasikan kebijakan perlindungan kustom.
Device Throttling	Setelah Anda mengaktifkan fitur ini, Anda dapat mengonfigurasi kondisi pembatasan untuk menyaring permintaan abnormal. Dengan cara ini, serangan banjir HTTP dapat dikurangi. Anda dapat menentukan kondisi pembatasan untuk perangkat. Jika jumlah permintaan dari perangkat yang sama dalam periode waktu tertentu melebihi ambang batas, WAF melakukan tindakan monitor atau blokir pada permintaan berikutnya. Anda juga dapat menentukan periode selama tindakan monitor atau blokir dilakukan. Anda dapat menentukan hingga tiga kondisi.
Custom Session-based Throttling	Setelah Anda mengaktifkan fitur ini, Anda dapat mengonfigurasi kondisi pembatasan kustom untuk menyaring permintaan abnormal. Dengan cara ini, serangan banjir HTTP dapat dikurangi. Anda dapat menentukan kondisi pembatasan untuk sesi. Jika jumlah permintaan dari sesi yang sama dalam periode waktu tertentu melebihi ambang batas, WAF melakukan tindakan monitor atau blokir pada permintaan berikutnya. Anda juga dapat menentukan periode selama tindakan monitor atau blokir dilakukan. Anda dapat menentukan hingga tiga kondisi. Untuk informasi lebih lanjut, lihat Konfigurasikan kebijakan perlindungan kustom.

Opsional:Di langkah Verify Actions, periksa apakah aturan anti-pengumpul data berlaku.
Langkah ini opsional. Untuk melewati langkah ini, Anda dapat mengklik Skip di sudut kiri bawah. Sebelum Anda mempublikasikan aturan, kami sarankan Anda menyelesaikan langkah ini.
Deskripsi:
- Step 1: Enter a public IP address.: Masukkan alamat IP publik perangkat uji Anda seperti ponsel. Selama pengujian, aturan anti-pengumpul data hanya berlaku untuk alamat IP publik. Oleh karena itu, pengujian tidak memengaruhi bisnis Anda.
  Penting Jika Anda ingin memperoleh alamat IP publik perangkat uji Anda, Anda dapat mengklik Alat Diagnostik Jaringan Alibaba. Pada halaman yang muncul, cari Local IP. Nilai Local IP adalah alamat IP publik perangkat uji Anda. Anda juga dapat menggunakan browser untuk mencari alamat IP perangkat uji Anda.
- Step 2: Verify the SDK signature.: Klik Start Test untuk memverifikasi bahwa tanda tangan SDK aplikasi valid.
  Catatan Pastikan bahwa Anti-Bot SDK telah diintegrasikan ke dalam perangkat uji. Jika Anti-Bot SDK tidak diintegrasikan ke dalam perangkat, verifikasi tanda tangan gagal, permintaan normal diblokir, dan tes tidak dapat diselesaikan.
- Step 3: Select an action.: Periksa apakah tindakan Blokir berlaku. Setelah Anda mengklik Start Test, WAF segera memberikan aturan anti-pengumpul data ke perangkat uji. Dalam kotak dialog yang muncul, WAF menyediakan prosedur pengujian, hasil yang diharapkan, dan demonstrasi. Kami sarankan Anda membacanya dengan cermat.
  Setelah pengujian selesai, Anda dapat mengklik I Have Completed Test untuk melanjutkan ke langkah berikutnya. Jika hasil tes menunjukkan pengecualian, Anda dapat mengklik Go Back untuk mengoptimalkan aturan anti-pengumpul data. Kemudian, lakukan tes lagi.
  Untuk informasi lebih lanjut tentang pengecualian yang mungkin terjadi selama tes dan solusi untuk menangani pengecualian tersebut, lihat FAQ.
Di langkah Preview and Publish Protection Rules, konfirmasi isi aturan anti-pengumpul data dan klik Publish.
Setelah aturan anti-pengumpul data dipublikasikan, aturan tersebut langsung berlaku.
Catatan Jika ini pertama kalinya Anda membuat aturan anti-pengumpul data, Anda tidak dapat melihat ID aturan sampai aturan dipublikasikan. ID aturan ditampilkan di tab Bot Management halaman Security Report. Anda dapat menggunakan ID aturan anti-pengumpul data untuk memeriksa permintaan yang sesuai dengan aturan di Log Service for WAF.

FAQ

Jika terjadi pengecualian selama langkah Verify Protection Effect, lihat tabel berikut untuk menyelesaikan masalah.

Error	Alasan	Solusi
Tidak ada permintaan uji yang valid terdeteksi. Untuk mengidentifikasi penyebab kesalahan yang mungkin terjadi, lihat dokumentasi WAF atau hubungi dukungan teknis Alibaba Cloud.	Permintaan uji gagal dikirim atau tidak dikirim ke WAF.	Pastikan permintaan uji dikirim ke alamat IP yang memetakan CNAME yang disediakan oleh WAF.
	Bidang header dalam permintaan uji tidak cocok dengan bidang header yang Anda konfigurasikan untuk parameter Traffic Characteristics dalam aturan anti-pengumpul data.	Ubah konfigurasi parameter Karakteristik Trafik dalam aturan anti-pengumpul data.
	Alamat IP sumber permintaan uji berbeda dari alamat IP publik yang Anda tentukan dalam aturan anti-pengumpul data.	Pastikan Anda menggunakan alamat IP publik yang benar. Kami sarankan Anda menggunakan Alibaba Network Diagnose Tool untuk memperoleh alamat IP publik Anda.
Permintaan uji gagal diverifikasi. Untuk mengidentifikasi penyebab kesalahan yang mungkin terjadi, lihat dokumentasi WAF atau hubungi dukungan teknis Alibaba Cloud.	Tidak ada akses pengguna nyata yang disimulasikan. Misalnya, mode debugging atau alat otomatisasi digunakan.	Simulasikan pengguna nyata untuk mengakses situs web atau aplikasi Anda selama pengujian.
	Jenis layanan yang salah dipilih. Misalnya, Websites dipilih saat Anda mengonfigurasi aturan anti-pengumpul data untuk aplikasi.	Ubah nilai parameter Jenis Layanan.
	Nama domain perantara digunakan, tetapi nama domain perantara yang salah dipilih dalam aturan anti-pengumpul data.	Pilih Use Intermediate Domain Name. Kemudian, pilih nama domain perantara yang benar dari daftar drop-down.
	Masalah kompatibilitas terjadi di frontend.	Kirim tiket untuk menghubungi dukungan teknis Alibaba Cloud.
Tidak ada verifikasi yang dipicu. Untuk mengidentifikasi penyebab kesalahan yang mungkin terjadi, lihat dokumentasi WAF atau hubungi dukungan teknis Alibaba Cloud.	Tidak ada aturan uji yang dihasilkan.	Lakukan pengujian beberapa kali hingga aturan uji dihasilkan.
Tidak ada permintaan uji yang valid terdeteksi atau diblokir. Untuk mengidentifikasi penyebab kesalahan yang mungkin terjadi, lihat dokumentasi WAF atau hubungi dukungan teknis Alibaba Cloud.	Permintaan uji gagal dikirim atau tidak dikirim ke WAF.	Pastikan permintaan uji dikirim ke alamat IP yang memetakan CNAME yang disediakan oleh WAF.
	Bidang header dalam permintaan uji tidak cocok dengan bidang header yang Anda konfigurasikan untuk parameter Traffic Characteristics dalam aturan anti-pengumpul data.	Ubah konfigurasi parameter Karakteristik Trafik dalam aturan anti-pengumpul data.
	Alamat IP sumber permintaan uji berbeda dari alamat IP publik yang Anda tentukan dalam aturan anti-pengumpul data.	Pastikan Anda menggunakan alamat IP publik yang benar. Kami sarankan Anda menggunakan Alibaba Network Diagnose Tool untuk memperoleh alamat IP publik Anda.