Web Application Firewall:Konfigurasi aturan intelijen ancaman bot

Prasyarat

Sebelum memulai, pastikan Anda telah:

• Memiliki instans WAF di wilayah luar Tiongkok daratan, dan modul Bot Management telah diaktifkan untuk instans tersebut.

• Instans WAF dengan fitur Bot Manager diaktifkan.

• Situs web Anda telah ditambahkan ke WAF (lihat Tutorial).

Sebelum mengaktifkan pustaka

Tinjau catatan berikut sebelum mengaktifkan pustaka intelijen apa pun:

• Seluruh lalu lintas diperiksa. Setelah Anda mengaktifkan intelijen ancaman bot, setiap permintaan ke situs web Anda akan diperiksa. Untuk mengecualikan permintaan tertentu, konfigurasikan daftar putih manajemen bot. Lihat Configure a whitelist for Bot Management.

• Fake Crawler Blacklist memerlukan daftar putih terlebih dahulu. Pustaka ini memblokir permintaan yang menggunakan User-Agent mesin pencari resmi (seperti BaiduSpider) untuk menyamar sebagai crawler sah. Tanpa daftar putih crawler, lalu lintas mesin pencari sah berisiko terblokir. Lihat Configure the allowed crawlers function.

• Malicious Crawler Blacklist memiliki risiko tingkat positif palsu. Tingkat keparahan yang lebih tinggi mencakup lebih banyak alamat IP dan memiliki tingkat positif palsu yang lebih tinggi. Untuk pustaka keparahan tinggi, gunakan CAPTCHA dan validasi JavaScript untuk memberikan tantangan, bukan langsung memblokir permintaan. Jika verifikasi berbasis tantangan tidak memungkinkan, aktifkan hanya pustaka keparahan rendah.

• Slider CAPTCHA hanya mendukung permintaan sinkron. Aksi Captcha dan Strict Captcha menggunakan slider CAPTCHA. Permintaan Ajax dan asinkron lainnya tidak didukung. Untuk memverifikasi lalu lintas asinkron, hubungi tim keamanan Alibaba Cloud atau uji dengan kebijakan perlindungan kustom. Lihat Configure a custom protection policy.

Aktifkan aturan intelijen ancaman bot

1. Login ke WAF console.

2. Di bilah navigasi atas, pilih kelompok sumber daya dan wilayah tempat instans WAF Anda ditempatkan. Anda dapat memilih Chinese Mainland atau Outside Chinese Mainland.

3. Di panel navigasi kiri, pilih Protection Configurations > Website Protection.

4. Di bagian atas halaman Website Protection, pilih nama domain yang ingin Anda lindungi dari daftar drop-down Switch Domain Name.

5. Klik tab Bot Management, temukan bagian Bot Threat Intelligence, aktifkan Status, lalu klik Settings.

6. Di daftar aturan Bot Threat Intelligence, temukan pustaka yang ingin Anda aktifkan dan nyalakan sakelar di kolom Status. Tabel berikut menjelaskan setiap pustaka intelijen. Setelah Anda mengaktifkan pustaka, WAF menerapkan aksi Monitor terhadap permintaan yang sesuai—mengizinkan lalu lintas lewat sambil mencatatnya dalam log.

   Intelligence library	Coverage	Default action
   Malicious Scanner Fingerprint Blacklist	Karakteristik puluhan ribu pemindai, berdasarkan analisis traffic	Monitor
   Malicious Scanner IP Blacklist	Alamat IP sumber serangan pemindaian, diperbarui secara dinamis dari traffic Alibaba Cloud	Monitor
   Credential Stuffing IP Blacklist	Ratusan ribu alamat IP yang terkait dengan serangan credential stuffing dan brute-force	Monitor
   Fake Crawler Blacklist	Crawler yang menggunakan User-Agent mesin pencari resmi (seperti BaiduSpider) untuk menyamar sebagai program sah. Penting Konfigurasikan daftar putih crawler sebelum mengaktifkan pustaka ini untuk menghindari positif palsu.	Monitor
   Malicious Crawler Blacklist	Jutaan alamat IP berbahaya, diperbarui secara dinamis dari sumber serangan crawler di Alibaba Cloud. Tersedia tiga tingkat keparahan: rendah, menengah, dan tinggi. Keparahan yang lebih tinggi mencakup lebih banyak alamat IP tetapi juga meningkatkan tingkat positif palsu.	Monitor
   IDC IP Lists	Alamat IP cloud publik dan pusat data on-premises, termasuk Alibaba Cloud, Tencent Cloud, Meituan Open Services, dan 21Vianet. Penyerang umumnya mengarahkan crawler melalui jaringan ini; pengguna biasa jarang mengakses website dari jaringan tersebut.	Monitor

7. (Opsional) Sesuaikan path yang dilindungi atau aksi aturan. Aturan default berlaku untuk semua direktori (/) nama domain. Untuk membatasi perlindungan hanya pada path tertentu atau mengubah aksi respons, klik Edit di kolom Actions pada aturan yang ingin Anda ubah. Di kotak dialog Edit Intelligence, konfigurasikan parameter berikut:

   Parameter	Description
   Protected Path	Path URL yang dilindungi, seperti /login atau /api. Gunakan / untuk mencakup semua direktori. Untuk setiap path, pilih mode pencocokan: Precise Match (URL persis), Prefix Match (URL dimulai dengan path yang ditentukan), atau Regular Expression Match (URL sesuai ekspresi reguler). Klik Add Protected URL untuk menambahkan path lain. Maksimal 10 path didukung.
   Action	Aksi yang diambil saat permintaan sesuai dengan aturan. Opsi: Monitor (izinkan dan catat log), Block (tolak permintaan), JavaScript Validation (tantang klien dengan pemeriksaan JavaScript sebelum mengizinkan permintaan), Captcha (tantang klien dengan slider CAPTCHA sebelum mengizinkan permintaan), atau Strict Captcha (sama seperti Captcha tetapi dengan standar verifikasi identitas yang lebih ketat).

   Klik OK untuk menyimpan.

Langkah berikutnya

• Untuk mengecualikan permintaan tertentu dari pemeriksaan intelijen ancaman bot, lihat Configure a whitelist for Bot Management.

• Untuk mengizinkan crawler sah yang telah diketahui, lihat Configure the allowed crawlers function.

• Untuk menguji aturan berbasis CAPTCHA pada lalu lintas asinkron, lihat Configure a custom protection policy.