全部产品
Search

搜索本产品

    Web Application Firewall:Konfigurasikan pengendalian risiko data

    文档中心

    Web Application Firewall:Konfigurasikan pengendalian risiko data

    更新时间:Jun 28, 2025

    Setelah menambahkan situs web ke Web Application Firewall (WAF), Anda dapat mengaktifkan pengendalian risiko data untuk melindungi layanan penting terhadap serangan seperti pendaftaran, login, kampanye, dan forum. Topik ini menjelaskan cara mengonfigurasi aturan pengendalian risiko data sesuai kebutuhan bisnis Anda.

    Informasi latar belakang

    Fitur pengendalian risiko data dikembangkan berdasarkan teknologi big data dari Alibaba Cloud. Fitur ini menggunakan mesin keputusan risiko dan verifikasi CAPTCHA untuk melindungi layanan penting dalam berbagai skenario. Untuk menggunakan pengendalian risiko data, cukup tambahkan situs web Anda ke WAF tanpa perlu mengonfigurasi server atau klien.

    Pengendalian risiko data cocok untuk berbagai skenario, termasuk pendaftaran spam, serangan flood SMS, serangan brute-force credential stuffing, bot pembelian otomatis, penyalahgunaan promosi, bot snatcher, manipulasi suara, dan spam.

    Gambar berikut menunjukkan cara pengendalian risiko data melindungi situs web Anda. Untuk informasi lebih lanjut tentang skenario dan efek perlindungan, lihat Contoh.

    Kompatibilitas

    Pengendalian risiko data hanya kompatibel dengan halaman web atau lingkungan HTML5. Dalam beberapa kasus, plug-in JavaScript yang disisipkan mungkin tidak kompatibel dengan halaman web tertentu, menyebabkan kesalahan pada verifikasi CAPTCHA geser. Halaman web berikut mungkin mengalami masalah kompatibilitas:

    • Halaman statis yang dapat diakses melalui URL atau dialihkan dengan memodifikasi location.href, menggunakan metode window.open, atau tag jangkar <a>. Ini mencakup halaman detail HTML, halaman dibagi, halaman beranda, dan dokumen.

    • Halaman web tempat Anda menulis ulang kode atau mengirim permintaan kustom, seperti formulir, XMLHttpRequest (XHR), atau permintaan Ajax kustom.

    • Halaman web yang menggunakan panggilan balik dalam kode mereka.

    Setelah mengaktifkan pengendalian risiko data, kami sarankan memilih mode peringatan dan menggunakan fitur Layanan Log Sederhana untuk WAF guna menjalankan tes kompatibilitas. Untuk informasi lebih lanjut, lihat Ikhtisar Fitur Layanan Log Sederhana untuk WAF.

    Untuk melindungi aplikasi asli, kami sarankan menggunakan Anti-Bot SDK. Untuk informasi lebih lanjut, lihat Konfigurasikan Perlindungan Aplikasi.

    Prasyarat

    • Sebuah instance WAF yang memenuhi persyaratan berikut telah dibeli:

      • Instance ditempatkan di Chinese mainland.

      • Modul bot management telah diaktifkan.

    • Situs web Anda telah ditambahkan ke WAF. Untuk informasi lebih lanjut, lihat Tutorial.

    Penting

    WAF menyediakan fitur konfigurasi berbasis skenario. Anda dapat mengonfigurasi aturan anti-pengais berdasarkan kebutuhan bisnis untuk melindungi dari pengais jahat. Jika ingin melindungi situs web dari pengais jahat, kami sarankan menggunakan fitur konfigurasi berbasis skenario. Untuk informasi lebih lanjut, lihat Ikhtisar Konfigurasi Berbasis Skenario. Setelah mengonfigurasi aturan anti-pengais, Anda tidak perlu lagi mengonfigurasi aturan pengendalian risiko data karena kedua jenis aturan tersebut dapat mencegah pengais jahat. Alibaba Cloud tidak lagi menyediakan pembaruan atau pemeliharaan untuk fitur pengendalian risiko data.

    Prosedur

    1. Masuk ke Konsol WAF. Di bilah navigasi atas, pilih grup sumber daya dan wilayah tempat instance WAF ditempatkan. Wilayah bisa berupa Chinese Mainland atau Outside Chinese Mainland.

    2. Di panel navigasi sebelah kiri, pilih Protection Configurations > Website Protection.

    3. Di bagian atas halaman Website Protection, pilih nama domain dari daftar drop-down Switch Domain Name.切换域名

    4. Di tab Bot Management, temukan bagian Data Risk Control dan klik Configure Now.

      Parameter

      Deskripsi

      Status

      Saklar yang dapat Anda gunakan untuk mengaktifkan atau menonaktifkan pengendalian risiko data. Setelah Anda mengaktifkan pengendalian risiko data untuk sebuah situs web, WAF menyisipkan plug-in JavaScript ke halaman web tertentu atau semua halaman web situs tersebut. Data pada halaman web dikembalikan kepada pengguna sebagai file terkompresi yang tidak dalam format GZIP. Tidak diperlukan konfigurasi lebih lanjut terlepas dari apakah situs web Anda menggunakan port non-standar.

      Catatan

      • Jika Anda ingin mengonfigurasi parameter Mode dan aturan perlindungan, aktifkan pengendalian risiko data.

      • Setelah pengendalian risiko data diaktifkan, semua permintaan yang ditujukan ke situs web Anda diperiksa. Anda dapat mengonfigurasi daftar putih untuk modul manajemen bot. Dengan cara ini, permintaan yang sesuai dengan aturan dapat melewati pemeriksaan. Untuk informasi lebih lanjut, lihat Konfigurasikan daftar putih untuk Manajemen Bot.

      Mode

      Mode untuk pengendalian risiko data. Nilai yang valid:

      • Strict Interception: Jika WAF mendeteksi bahwa situs web Anda sedang diserang, permintaan harus melewati autentikasi multi-faktor yang ketat.

      • Block: Jika WAF mendeteksi bahwa situs web Anda sedang diserang, permintaan harus melewati autentikasi multi-faktor.

      • Warn: Jika WAF mendeteksi bahwa situs web Anda sedang diserang, permintaan diteruskan ke situs web Anda. Namun, log yang terkait dengan permintaan tersebut dihasilkan. Anda dapat melihat detail log di laporan risiko.

        Catatan

        Secara default, parameter Mode diatur ke mode Peringatan. Dalam mode ini, pengendalian risiko data tidak memblokir permintaan. Namun, WAF menyisipkan plug-in JavaScript ke halaman web statis untuk menganalisis perilaku klien.

    5. Tambahkan aturan pengendalian risiko data.

      1. Di halaman Data Risk Control, klik tab Protected URL, lalu klik Add Protected URL.

      2. Di kotak dialog Add Protected URL, masukkan URL yang ingin dilindungi di bidang Protection Request URL. Untuk informasi lebih lanjut, lihat Pengenalan URL yang Dilindungi.

      3. Klik OK.

      URL baru akan berlaku dalam waktu sekitar 10 menit. Anda dapat melihat URL baru di daftar URL dan memodifikasi atau menghapusnya sesuai kebutuhan bisnis.

    6. Opsional: Tentukan halaman web ke dalam mana Anda ingin menyisipkan plug-in JavaScript.

      Kode tertentu dari halaman web mungkin tidak kompatibel dengan plug-in JavaScript. Dalam hal ini, kami sarankan menyisipkan plug-in JavaScript hanya ke halaman yang kompatibel.

      Catatan

      Jika plug-in JavaScript hanya disisipkan ke halaman yang kompatibel, pengendalian risiko data mungkin gagal mendapatkan semua perilaku pengguna, mengurangi efektivitasnya.

      1. Di halaman Data Risk Control, klik tab Pages to Which JavaScript Plug-in are Inserted.

      2. Pilih Insert JavaScript Plug-in into Specific Pages dan klik Tambah Halaman Web.

        Catatan

        Anda dapat menambahkan hingga 20 jalur URL untuk halaman web.

      3. Di kotak dialog Add URL, masukkan jalur URL halaman web ke dalam mana Anda ingin menyisipkan plug-in JavaScript dan klik OK. Jalur URL harus dimulai dengan garis miring (/).

      Setelah menambahkan jalur URL, pengendalian risiko data menyisipkan plug-in JavaScript ke semua halaman web di jalur tersebut.

    Setelah mengaktifkan pengendalian risiko data, Anda dapat menggunakan fitur Layanan Log Sederhana untuk WAF guna melihat hasil perlindungan. Untuk informasi lebih lanjut, lihat Lihat Hasil Perlindungan.

    Pengenalan URL yang dilindungi

    URL yang dilindungi adalah titik akhir yang digunakan untuk melakukan operasi layanan. URL yang dilindungi berbeda dari URL halaman web. Sebagai contoh, jika Anda memiliki halaman pendaftaran dengan URL www.aliyundoc.com/new_user, titik akhir untuk mendapatkan kode verifikasi adalah www.aliyundoc.com/getsmscode, sedangkan titik akhir untuk mendaftar adalah www.aliyundoc.com/register.do.

    Dalam contoh ini, Anda harus menambahkan www.aliyundoc.com/getsmscode dan www.aliyundoc.com/register.do ke WAF sebagai URL yang dilindungi. Dengan cara ini, WAF dapat melindungi URL tersebut dari serangan flood SMS dan pendaftaran spam. Menambahkan www.aliyundoc.com/new_user sebagai URL yang dilindungi akan memengaruhi pengalaman pengguna karena pengguna umum juga diharuskan melewati verifikasi CAPTCHA geser.

    Saat mengonfigurasi URL yang dilindungi, perhatikan hal berikut:

    • URL yang dilindungi mendukung pencocokan tepat tetapi tidak mendukung pencocokan kabur.

      Sebagai contoh, jika Anda menambahkan www.aliyundoc.com/test sebagai URL yang dilindungi, pengendalian risiko data hanya menyaring permintaan yang dikirim ke URL ini, bukan subdirektori URL tersebut.

    • Pengendalian risiko data melindungi lalu lintas berdasarkan direktori situs web.

      Jika Anda menambahkan www.aliyundoc.com/book/* sebagai URL yang dilindungi, pengendalian risiko data menyaring permintaan yang dikirim ke halaman web di semua subdirektori www.aliyundoc.com/book. Kami sarankan tidak mengonfigurasi pengendalian risiko data untuk memantau seluruh situs web. Jika Anda menambahkan www.aliyundoc.com/* sebagai URL yang dilindungi, pengguna umum diharuskan melewati verifikasi CAPTCHA geser sebelum mengunjungi halaman beranda, memengaruhi pengalaman pengguna.

    • Permintaan yang dikirim ke URL yang dilindungi selalu memicu verifikasi CAPTCHA geser. Pastikan pengguna umum tidak dapat langsung meminta URL yang dilindungi. Pengguna umum diharuskan melewati autentikasi multi-faktor sebelum mengunjungi URL yang dilindungi.

    • Pengendalian risiko data tidak berlaku untuk situs web yang mendukung operasi API. Panggilan API adalah tindakan mesin dan tidak dapat melewati verifikasi CAPTCHA geser. Namun, jika pengguna umum mengklik tombol di halaman untuk memanggil operasi API, pengendalian risiko data bekerja seperti yang diharapkan.

    Lihat hasil perlindungan

    Anda dapat menggunakan fitur Layanan Log Sederhana untuk WAF guna melihat hasil perlindungan.

    Setelah mengaktifkan pengumpulan log untuk nama domain, Anda dapat memilih opsi Anti-Fraud di bagian Advanced Search pada tab Log Query untuk melihat hasil perlindungan. Untuk informasi lebih lanjut, lihat Kueri dan Analisis Log.

    Contoh

    Pengguna Tom memiliki situs web dengan nama domain www.aliyundoc.com. Pengguna umum dapat mendaftar sebagai anggota di www.aliyundoc.com/register.html. Tom memperhatikan bahwa penyerang dapat menggunakan skrip jahat untuk mengirim permintaan pendaftaran dan membuat akun untuk berpartisipasi dalam undian hadiah. Permintaan tersebut mirip dengan permintaan normal, dan laju permintaan dipertahankan pada tingkat normal. Dalam hal ini, kebijakan perlindungan serangan flood HTTP tidak dapat mengidentifikasi jenis permintaan jahat ini.

    Sample code

    Tom menambahkan situs web ke WAF dan mengaktifkan pengendalian risiko data untuk nama domain www.aliyundoc.com. URL layanan pendaftaran yang paling penting adalah www.aliyundoc.com/register.html. Oleh karena itu, Tom menambahkan URL ini sebagai URL yang dilindungi.

    Protection results

    Setelah konfigurasi berlaku, pengendalian risiko data menyisipkan plug-in JavaScript ke semua halaman web situs tersebut. Ini memungkinkan Tom memantau dan menganalisis perilaku setiap pengguna yang mengunjungi www.aliyundoc.com. Halaman web ke dalam mana plug-in JavaScript disisipkan mencakup halaman beranda dan subhalaman. Kemudian, pengendalian risiko data menentukan apakah perilaku setiap pengguna normal dan apakah alamat IP sumber jahat berdasarkan reputasi big data dari Alibaba Cloud.

    Saat pengguna mengirim permintaan pendaftaran ke www.aliyundoc.com/register.html, WAF menentukan apakah pengguna adalah penyerang berdasarkan data perilaku dan lingkungan pengguna dari waktu pengguna mengunjungi situs hingga waktu pengguna mengirim permintaan pendaftaran. Sebagai contoh, jika pengguna langsung mengirim permintaan pendaftaran tanpa melakukan operasi lain sebelumnya, permintaan tersebut diidentifikasi sebagai mencurigakan. Saat memasukkan nama domain, perhatikan hal berikut:

    • Jika pengendalian risiko data menentukan bahwa permintaan berasal dari pengguna normal berdasarkan perilaku sebelumnya, pengguna dapat mendaftarkan akun tanpa perlu melewati verifikasi.

    • Jika pengendalian risiko data mengidentifikasi permintaan sebagai mencurigakan atau alamat IP sumber memiliki catatan digunakan untuk mengirim permintaan jahat, verifikasi CAPTCHA geser dipicu untuk memverifikasi identitas pengguna. Hanya pengguna yang lolos verifikasi yang dapat mendaftarkan akun.

      Jika verifikasi CAPTCHA geser mendeteksi perilaku mencurigakan, seperti penggunaan skrip untuk mensimulasikan perilaku pengguna nyata dan melewati verifikasi, pengendalian risiko data menggunakan metode verifikasi tambahan sampai pengguna lolos verifikasi. Kemudian, pengguna diidentifikasi sebagai pengguna normal. Jika pengguna gagal verifikasi, pengendalian risiko data memblokir permintaan.

    Selama proses ini, pengendalian risiko data diaktifkan untuk seluruh situs web (www.aliyundoc.com). Pengendalian risiko data menyisipkan plug-in JavaScript ke semua halaman web situs untuk menganalisis perilaku pengguna. Namun, perlindungan dan verifikasi hanya diperlukan untuk www.aliyundoc.com/register.html, tempat pengguna mengirim permintaan pendaftaran. Pengendalian risiko data hanya dipicu saat permintaan pendaftaran dikirim.