Konfigurasikan aturan anti-pengumpul untuk situs web - Web Application Firewall

Modul manajemen bot dari Web Application Firewall (WAF) menyediakan fitur konfigurasi berbasis skenario. Fitur ini memungkinkan Anda mengonfigurasi aturan anti-pengumpul sesuai kebutuhan bisnis dan membantu melindungi situs web dari bot jahat. Topik ini menjelaskan cara mengonfigurasi aturan tersebut.

Informasi latar belakang

Fitur konfigurasi berbasis skenario memungkinkan Anda menyesuaikan aturan anti-pengumpul sesuai dengan kebutuhan bisnis. Anda dapat menggunakan fitur ini bersama algoritma cerdas untuk mengidentifikasi trafik bot secara lebih akurat. Fitur ini juga dapat menangani trafik bot yang sesuai dengan aturan anti-pengumpul secara otomatis. Setelah mengonfigurasi aturan, Anda dapat memverifikasinya di lingkungan pengujian untuk mencegah dampak buruk pada situs web atau aplikasi, seperti positif palsu atau hasil perlindungan yang tidak diinginkan.

Prasyarat

Instance WAF Berlangganan: Jika instance WAF Anda menjalankan edisi Pro, Bisnis, atau Perusahaan, modul Bot Management diaktifkan.
Situs web Anda telah ditambahkan ke WAF. Untuk informasi lebih lanjut, lihat Tutorial.

Prosedur

Masuk ke Konsol WAF.
Di bilah navigasi atas, pilih grup sumber daya dan wilayah tempat instance WAF diterapkan. Anda dapat memilih Chinese Mainland atau Outside Chinese Mainland.
Di panel navigasi sisi kiri, pilih Protection Configurations > Website Protection.
Di bagian atas halaman Website Protection, pilih nama domain yang ingin Anda konfigurasi perlindungannya dari daftar drop-down Switch Domain Name.
Jika Anda belum membuat aturan anti-pengumpul, klik tab Bot Management. Di bagian Scenario-specific Configuration, klik Start untuk membuat aturan anti-pengumpul. Jika Anda telah membuat aturan anti-pengumpul, klik Add di pojok kanan atas tab Bot Management untuk membuat aturan baru.
Catatan Anda dapat membuat hingga 50 anti-crawler rules untuk sebuah nama domain.

Di langkah Configure Scenarios, konfigurasikan informasi dasar tentang situs web yang ingin Anda lindungi dan klik Next.

Parameter	Deskripsi
Scenario	Tentukan jenis skenario layanan di mana Anda ingin melindungi nama domain. Contoh: login, pendaftaran, dan penempatan pesanan.
Service Type	Pilih Websites. Dengan cara ini, WAF melindungi halaman web dan halaman HTML5. Aplikasi HTML5 juga dilindungi. Jika nama domain situs web yang ingin Anda lindungi diakses dari nama domain lain, Anda harus memilih Use Intermediate Domain Name. Kemudian, pilih nama domain perantara dari daftar drop-down.
Traffic Characteristics	Tambahkan kondisi pencocokan untuk mengidentifikasi trafik yang ditujukan ke nama domain situs web yang ingin Anda lindungi. Untuk menambahkan kondisi, Anda harus menentukan bidang pencocokan, operator logis, dan konten pencocokan. Bidang pencocokan adalah bidang header permintaan HTTP. Untuk informasi lebih lanjut tentang bidang pencocokan, lihat Bidang dalam kondisi pencocokan. Anda dapat menambahkan hingga lima kondisi pencocokan. Penting Setelah Anda memasukkan alamat IP, Anda harus menekan Enter.

Di langkah Configure Protection Rules, konfigurasikan pengaturan detail untuk aturan anti-pengumpul dan klik Next.

Parameter	Deskripsi
Script-based Bot Block	Jika Anda mengaktifkan saklar ini, WAF melakukan validasi JavaScript pada klien. Trafik dari alat non-browser yang tidak dapat menjalankan kode JavaScript diblokir. Dengan cara ini, serangan sederhana berbasis skrip diblokir.
Dynamic Token Challenge	Secara default, saklar ini dimatikan. Jika Anda mengaktifkan saklar ini, WAF melakukan verifikasi tanda tangan pada setiap permintaan. Permintaan yang gagal verifikasi tanda tangan diblokir. Signature Verification Exception dipilih secara default dan tidak dapat dibatalkan. Permintaan yang tidak mengandung tanda tangan atau permintaan yang mengandung tanda tangan tidak valid dideteksi. Anda juga dapat memilih Signature Timestamp Exception dan WebDriver Attack.
Intelligent Protection	Jika Anda mengaktifkan saklar ini, mesin perlindungan cerdas menganalisis trafik akses dan melakukan pembelajaran mesin. Kemudian, daftar hitam atau aturan perlindungan dihasilkan berdasarkan hasil analisis dan pola yang dipelajari. Anda dapat mengatur parameter Mode Perlindungan ke Monitor atau Slider CAPTCHA. Jika Anda mengatur parameter Mode Perlindungan ke Monitor, aturan anti-pengumpul mengizinkan trafik yang sesuai dengan aturan dan mencatat trafik tersebut dalam laporan keamanan. Jika Anda mengatur parameter Mode Perlindungan ke Slider CAPTCHA, klien diharuskan melewati verifikasi CAPTCHA geser sebelum mereka dapat mengakses nama domain yang dilindungi.
Bot Threat Intelligence Feed	Jika Anda mengaktifkan saklar ini, pustaka intelijen ancaman Alibaba Cloud digunakan untuk mengidentifikasi alamat IP yang sering digunakan untuk merayapi konten dari pengguna Alibaba Cloud. Klien yang menggunakan alamat IP ini diharuskan melewati verifikasi CAPTCHA geser sebelum mereka dapat mengakses nama domain yang dilindungi.
Data Center Blacklist	Jika Anda mengaktifkan saklar ini, Anda harus memilih pustaka dari daftar drop-down. Dengan cara ini, WAF memblokir permintaan akses dari alamat IP di pustaka ke nama domain yang dilindungi. Pustaka tersebut berisi alamat IP jahat yang dikenal dari pusat data Alibaba Cloud dan penyedia cloud utama lainnya.
IP Address Throttling	Jika Anda mengaktifkan saklar ini, Anda dapat mengonfigurasi kondisi pembatasan untuk menyaring permintaan yang sering dilakukan untuk merayapi. Dengan cara ini, serangan banjir HTTP dikurangi. Anda dapat mengonfigurasi kondisi pembatasan untuk alamat IP. Jika jumlah permintaan dari alamat IP yang sama dalam periode waktu tertentu melebihi ambang batas, WAF melakukan tindakan yang ditentukan pada permintaan berikutnya. Anda juga dapat mengonfigurasi periode selama tindakan yang ditentukan dilakukan. Tindakan tersebut bisa Monitor, blokir, atau Captcha. Anda dapat mengonfigurasi hingga tiga kondisi pembatasan. Untuk informasi lebih lanjut, lihat Konfigurasikan kebijakan perlindungan kustom.
Custom Session-based Throttling	Jika Anda mengaktifkan saklar ini, Anda dapat mengonfigurasi kondisi pembatasan kustom untuk menyaring permintaan yang sering dilakukan untuk merayapi. Dengan cara ini, serangan banjir HTTP dikurangi. Anda dapat mengonfigurasi kondisi pembatasan untuk sesi. Jika jumlah permintaan dari sesi yang sama dalam periode waktu tertentu melebihi ambang batas, WAF melakukan tindakan yang ditentukan pada permintaan berikutnya. Anda juga dapat mengonfigurasi periode selama tindakan tersebut dilakukan. Tindakan tersebut bisa Monitor, blokir, atau Captcha. Untuk informasi lebih lanjut, lihat Konfigurasikan kebijakan perlindungan kustom.

Opsional:Di langkah Verify Actions, uji efektivitas aturan anti-pengumpul.
Langkah ini opsional. Untuk melewati langkah ini, Anda dapat mengklik Skip di pojok kiri bawah. Jika ini pertama kalinya Anda mengonfigurasi aturan anti-pengumpul, kami sarankan Anda menyelesaikan langkah ini sebelum menerbitkan aturan untuk mencegah positif palsu atau masalah kompatibilitas.
Langkah-langkah pengujian:
1. Step 1: Enter a public IP address.: Masukkan alamat IP publik perangkat uji Anda, seperti komputer atau ponsel. Pengujian aturan anti-pengumpul hanya berlaku untuk alamat IP publik dan tidak memengaruhi bisnis Anda.
  Penting Jangan masukkan alamat IP yang Anda peroleh dengan menjalankan perintah ipconfig. Perintah ini mengembalikan alamat IP internal. Jika Anda ingin memperoleh alamat IP publik perangkat uji Anda, Anda dapat mengklik Alat Diagnostik Jaringan Alibaba. Di halaman yang muncul, cari Local IP. Nilai Local IP adalah alamat IP publik perangkat uji Anda. Anda juga dapat menggunakan browser untuk mencari alamat IP perangkat uji Anda.
2. Step 2: Select an action.: Uji efektivitas tindakan perlindungan yang Anda tentukan dalam aturan anti-pengumpul. WAF menghasilkan aturan uji hanya untuk alamat IP yang ditentukan. Tindakan tersebut bisa JavaScript Validation, Dynamic Token-based Authentication, Slider CAPTCHA Verification, atau Block Verification.
  Setelah Anda mengklik Start Test untuk suatu tindakan, WAF segera menyampaikan aturan uji ke perangkat uji. Di kotak dialog yang muncul, WAF memberikan prosedur uji, hasil yang diharapkan, dan demonstrasi. Kami sarankan Anda membacanya dengan cermat.
  Setelah pengujian selesai, Anda dapat mengklik I Have Completed Test untuk melanjutkan ke langkah berikutnya. Jika hasil uji menunjukkan pengecualian, Anda dapat mengklik Go Back untuk mengoptimalkan aturan anti-pengumpul. Kemudian, lakukan pengujian lagi.
  Untuk informasi lebih lanjut tentang pengecualian yang mungkin terjadi selama pengujian dan solusi untuk pengecualian tersebut, lihat FAQ.
Di langkah Preview and Publish Protection Rules, konfirmasi isi aturan anti-pengumpul dan klik Publish.
Setelah aturan anti-pengumpul diterbitkan, aturan tersebut langsung berlaku.
Catatan Jika ini pertama kalinya Anda membuat aturan anti-pengumpul, Anda tidak dapat melihat ID aturan sampai aturan tersebut diterbitkan. ID aturan ditampilkan di tab Bot Management halaman Security Report. Anda dapat menggunakan ID aturan anti-pengumpul untuk memeriksa permintaan yang sesuai dengan aturan di Log Service for WAF.

FAQ

Kesalahan	Penyebab	Solusi
Tidak ada permintaan uji yang valid terdeteksi. Lihat dokumentasi WAF atau hubungi kami untuk menganalisis kemungkinan penyebab.	Permintaan uji gagal dikirim atau tidak dikirim ke WAF.	Pastikan permintaan uji dikirim ke alamat IP yang memetakan CNAME yang disediakan oleh WAF.
	Bidang header dalam permintaan uji tidak cocok dengan bidang header yang Anda tentukan untuk Traffic Characteristics dalam aturan anti-pengumpul.	Ubah pengaturan Karakteristik Trafik dalam aturan anti-pengumpul.
	Alamat IP sumber permintaan uji berbeda dari alamat IP publik yang Anda tentukan dalam aturan anti-pengumpul.	Gunakan alamat IP publik yang benar. Kami sarankan Anda mengklik Alat Diagnosa Jaringan Alibaba untuk mendapatkan alamat IP publik Anda.
Permintaan uji gagal diverifikasi. Lihat dokumentasi WAF atau hubungi kami untuk menganalisis kemungkinan penyebab.	Tidak ada akses pengguna nyata yang disimulasikan. Misalnya, mode debugging atau alat otomatisasi digunakan.	Simulasikan akses pengguna nyata selama pengujian.
	Tipe layanan yang salah dipilih. Misalnya, Websites dipilih saat Anda mengonfigurasi aturan anti-pengumpul untuk aplikasi.	Ubah nilai parameter Tipe Layanan.
	Nama domain perantara digunakan, tetapi nama domain perantara yang salah dipilih dalam aturan anti-pengumpul.	Pilih Use Intermediate Domain Name. Kemudian, pilih nama domain perantara yang benar dari daftar drop-down.
	Masalah kompatibilitas terjadi di frontend.	Hubungi layanan pelanggan di grup DingTalk atau ajukan Halaman Tiket Baru.
Tidak ada verifikasi yang dipicu. Lihat dokumentasi WAF atau hubungi kami untuk menganalisis kemungkinan penyebab.	Tidak ada aturan uji yang dihasilkan.	Lakukan pengujian beberapa kali sampai aturan uji dihasilkan.
Tidak ada permintaan uji yang valid terdeteksi atau diblokir. Lihat dokumentasi WAF atau hubungi kami untuk menganalisis kemungkinan penyebab.	Permintaan uji gagal dikirim atau tidak dikirim ke WAF.	Pastikan permintaan uji dikirim ke alamat IP yang memetakan CNAME yang disediakan oleh WAF.
	Bidang header dalam permintaan uji tidak cocok dengan bidang header yang Anda konfigurasikan untuk Traffic Characteristics dalam aturan anti-pengumpul.	Ubah pengaturan Karakteristik Trafik dalam aturan anti-pengumpul.
	Alamat IP sumber permintaan uji berbeda dari alamat IP publik yang Anda tentukan dalam aturan anti-pengumpul.	Gunakan alamat IP publik yang benar. Kami sarankan Anda mengklik Alat Diagnosa Jaringan Alibaba untuk mendapatkan alamat IP publik Anda.

Apa yang harus dilakukan selanjutnya

Pergi ke tab Bot Management di halaman Laporan Keamanan dan lihat hasil perlindungan serta detail permintaan yang sesuai dengan aturan anti-pengumpul. Kemudian, optimalkan aturan anti-pengumpul berdasarkan hasil perlindungan.