Konfigurasikan aturan intelijen ancaman bot - Web Application Firewall

Fitur intelijen ancaman bot memberikan informasi tentang alamat IP mencurigakan yang digunakan oleh dialer, pusat data lokal, dan pemindai jahat. Fitur ini juga memelihara pustaka alamat IP dari crawler jahat. Anda dapat mengonfigurasi aturan intelijen ancaman bot untuk mencegah crawler jahat mengakses semua halaman di bawah nama domain atau direktori tertentu.

Prasyarat

Instansi WAF telah dibeli, dan fitur Bot Manager telah diaktifkan.
Situs web Anda telah ditambahkan ke WAF. Untuk informasi lebih lanjut, lihat Tutorial.

Informasi latar belakang

Aturan intelijen ancaman bot dapat memblokir permintaan dari crawler yang tercatat dalam pustaka crawler Alibaba Cloud. Pustaka crawler Alibaba Cloud diperbarui secara real-time berdasarkan intelijen ancaman Alibaba Cloud dan analisis lalu lintas jaringan yang mengalir melalui Alibaba Cloud. Ini secara efektif mendeteksi alamat IP crawler jahat dan memberikan karakteristik sumber dari mana permintaan jahat dikirim. Pustaka crawler Alibaba Cloud menyediakan karakteristik crawler jahat dari lebih dari 700 jenis.

Catatan Pustaka crawler Alibaba Cloud mencakup cloud publik dan pusat data lokal.

Saat mengonfigurasi aturan intelijen ancaman bot, Anda dapat menentukan tindakan berdasarkan jenis pustaka intelijen ancaman. Misalnya, Anda dapat menentukan tindakan seperti blokir, verifikasi JavaScript, atau verifikasi CAPTCHA. Anda juga dapat mengonfigurasi aturan intelijen ancaman bot untuk melindungi titik akhir penting terhadap ancaman tertentu, membantu meminimalkan dampak negatif pada layanan.

Prosedur

Masuk ke Konsol WAF.
Di bilah navigasi atas, pilih grup sumber daya dan wilayah tempat instansi WAF diterapkan. Anda dapat memilih Chinese Mainland atau Outside Chinese Mainland.
Di panel navigasi di sebelah kiri, pilih Protection Configurations > Website Protection.
Di bagian atas halaman Website Protection, pilih nama domain yang ingin Anda konfigurasikan proteksinya dari daftar drop-down Switch Domain Name.
Klik tab Bot Management, temukan bagian Bot Threat Intelligence. Lalu, aktifkan Status dan klik Settings.
Catatan Setelah fitur intelijen ancaman bot diaktifkan, semua permintaan yang menuju situs web Anda diperiksa oleh fitur tersebut. Anda dapat mengonfigurasi daftar izin manajemen bot sehingga permintaan yang memenuhi kondisi yang diperlukan melewati pemeriksaan fitur tersebut. Untuk informasi lebih lanjut, lihat Konfigurasikan Daftar Putih untuk Bot Management.

Dalam daftar aturan Bot Threat Intelligence, temukan pustaka intelijen ancaman yang ingin Anda gunakan, dan aktifkan sakelar di kolom Status.

Tabel berikut mencantumkan pustaka intelijen ancaman bot yang didukung oleh WAF.

Pustaka intelijen	Deskripsi
Malicious Scanner Fingerprint Blacklist	Pustaka ini berisi karakteristik puluhan ribu pemindai berdasarkan analisis lalu lintas.
Malicious Scanner IP Blacklist	Pustaka ini berisi alamat IP jahat yang diperbarui secara dinamis berdasarkan alamat IP sumber serangan pemindaian yang terdeteksi di Alibaba Cloud.
Credential Stuffing IP Blacklist	Pustaka ini berisi ratusan ribu alamat IP jahat yang diperbarui berdasarkan alamat IP sumber serangan stuffing kredensial dan brute-force yang terdeteksi di Alibaba Cloud.
Fake Crawler Blacklist	Pustaka ini mengidentifikasi crawler yang menggunakan User-Agent mesin pencari resmi, seperti BaiduSpider, untuk menyamar sebagai program resmi. Penting Sebelum Anda mengaktifkan pustaka ini, pastikan bahwa daftar izin crawler telah dikonfigurasi. Jika tidak, positif palsu mungkin terjadi. Untuk informasi lebih lanjut, lihat Konfigurasikan fungsi crawler yang diizinkan.
Malicious Crawler Blacklist	Pustaka ini berisi jutaan alamat IP jahat yang diperbarui secara dinamis berdasarkan alamat IP sumber crawler yang terdeteksi di Alibaba Cloud. Pustaka ini dikategorikan menjadi tiga tingkat keparahan: rendah, sedang, dan tinggi. Tingkat keparahan yang lebih tinggi menunjukkan lebih banyak alamat IP dalam pustaka dan tingkat positif palsu yang lebih tinggi. Catatan Kami merekomendasikan Anda untuk menyiapkan otentikasi dua faktor, seperti CAPTCHA dan verifikasi JavaScript, untuk pustaka tingkat keparahan tinggi. Dalam skenario di mana otentikasi dua faktor tidak dapat diimplementasikan, kami merekomendasikan Anda untuk mengonfigurasi aturan intelijen ancaman berdasarkan pustaka tingkat keparahan rendah.
IDC IP Lists	Pustaka ini berisi alamat IP dari cloud publik dan pusat data lokal, termasuk Alibaba Cloud, Tencent Cloud, Meituan Open Services, dan 21Vianet. Penyerang biasanya menggunakan blok CIDR cloud publik atau pusat data lokal untuk menerapkan crawler atau sebagai proxy untuk mengakses situs web. Pengguna reguler jarang mengakses situs web dengan cara ini.

Setelah Anda mengaktifkan aturan default, WAF melakukan tindakan Monitor pada permintaan yang berasal dari alamat IP dalam pustaka intelijen ancaman yang sesuai dengan aturan ke direktori nama domain yang dilindungi. Tindakan ini memungkinkan permintaan ke direktori tujuan dan mencatat permintaan dalam log.

Jika Anda perlu memodifikasi aturan default, lihat bagian berikut tentang cara mengonfigurasi aturan intelijen ancaman kustom. Misalnya, jika Anda ingin menentukan URL yang dilindungi atau tindakan, lihat bagian berikut, langkah 7.

Opsional:Konfigurasikan aturan intelijen ancaman kustom.

Temukan aturan yang ingin Anda modifikasi dan klik Edit di kolom Tindakan.

Di kotak dialog Edit Intelligence, konfigurasikan parameter berikut.

Parameter

Deskripsi

Protected Path

The URL yang ingin Anda lindungi, seperti /abc, /login/abc, atau garis miring (/) yang menunjukkan semua direktori. Anda juga perlu memilih nilai untuk Matching. Nilai valid:

Precise Match: URL tujuan harus cocok persis dengan URL yang dilindungi.
Prefix Match: Awalan URL tujuan cocok dengan URL yang dilindungi.
Regular Expression Match: URL tujuan cocok dengan ekspresi reguler yang ditentukan dari URL yang dilindungi.

Anda dapat mengklik Add Protected URL untuk menambahkan lebih banyak URL. Anda dapat menambahkan hingga 10 URL.

Action

Tindakan yang ingin Anda lakukan setelah kondisi pencocokan aturan terpenuhi. Nilai valid:

Monitor: mengizinkan permintaan ke direktori tujuan dan mencatat permintaan dalam log.
Block: memblokir permintaan ke direktori tujuan.
JavaScript Validation: memerlukan klien untuk melakukan verifikasi JavaScript. Permintaan hanya diteruskan ke direktori tujuan setelah klien lolos verifikasi.
Captcha: memerlukan klien untuk melakukan verifikasi slider CAPTCHA. Permintaan hanya diteruskan ke direktori tujuan setelah klien lolos verifikasi.
Catatan Slider CAPTCHA hanya mendukung permintaan sinkron. Untuk memverifikasi permintaan asinkron, seperti permintaan Ajax, hubungi tim keamanan Alibaba Cloud. Jika Anda tidak dapat menentukan apakah URL yang dilindungi mendukung slider CAPTCHA, kami merekomendasikan Anda membuat kebijakan perlindungan kustom berbasis alamat IP atau URL (ACL) untuk menjalankan tes. Untuk informasi lebih lanjut, lihat Konfigurasikan kebijakan perlindungan kustom.
Strict Captcha: memerlukan klien untuk melakukan verifikasi slider CAPTCHA ketat. Permintaan hanya diteruskan ke direktori tujuan setelah klien lolos verifikasi. Verifikasi slider CAPTCHA ketat memiliki standar yang lebih ketat untuk memverifikasi identitas pengunjung.

Klik OK.