Kebijakan perlindungan kustom memungkinkan Anda menentukan aturan lalu lintas yang tepat untuk situs web Anda—memblokir permintaan yang tidak diinginkan, membatasi lalu lintas berfrekuensi tinggi, atau memantau pola mencurigakan tanpa memblokir.
Jenis aturan
Kebijakan perlindungan kustom terdiri dari dua jenis aturan:
Access control list (ACL) rule — Menyaring permintaan berdasarkan kondisi pencocokan seperti alamat IP klien, URL permintaan, dan header permintaan. WAF mengevaluasi setiap permintaan terhadap kondisi tersebut dan menjalankan aksi yang dikonfigurasi ketika semua kondisi terpenuhi.
HTTP flood protection rule — Menggabungkan kondisi pencocokan dengan rate limiting. WAF mulai menghitung permintaan hanya ketika kondisi pencocokan terpenuhi, lalu menerapkan aksi ketika laju permintaan melebihi ambang batas yang ditetapkan. Gunakan jenis aturan ini untuk perlindungan hotlink, perlindungan backend situs web, dan pencegahan brute-force.
Jenis aturan ditetapkan secara otomatis: nonaktifkan rate limiting untuk membuat aturan ACL, aktifkan untuk membuat aturan HTTP flood protection.
Batasan
Spesifikasi berikut berlaku untuk instans WAF berlangganan.
| Spesifikasi | Edisi Pro | Edisi Bisnis | Edisi Enterprise dan lebih tinggi |
|---|---|---|---|
| Aturan kustom per domain | 200 | 200 | 200 |
| Bidang pencocokan lanjutan (selain IP dan URL) | Tidak didukung | Didukung | Didukung |
| Rate limiting | Tidak didukung | Didukung | Didukung |
| Objek statistik kustom | Tidak didukung | Didukung | Didukung |
Prasyarat
Sebelum memulai, pastikan Anda telah memiliki:
Instans WAF
Situs web Anda telah ditambahkan ke WAF (lihat Tutorial)
Buat aturan kustom
Masuk ke WAF console.
Pada bilah navigasi atas, pilih kelompok sumber daya dan wilayah tempat instans WAF Anda ditempatkan. Pilih Chinese Mainland atau Outside Chinese Mainland.
Pada panel navigasi kiri, pilih Protection Configurations > Website Protection.
Di bagian atas halaman Website Protection, pilih nama domain Anda dari daftar drop-down Switch Domain Name.
Klik tab Access Control/Throttling, temukan bagian Custom Protection Policy, aktifkan Status, lalu klik Settings.
CatatanSaat kebijakan perlindungan kustom diaktifkan, semua permintaan ke situs web Anda akan diperiksa. Untuk mengecualikan permintaan tertentu dari pemeriksaan, konfigurasikan aturan daftar putih untuk Access Control/Throttling. Untuk informasi selengkapnya, lihat Konfigurasikan daftar putih untuk Access Control/Throttling.
Pada halaman Custom Protection Policy, klik Create Custom Protection Policy.
Pada kotak dialog Add Rule, konfigurasikan parameter aturan.
Parameter Deskripsi Rule name Nama untuk aturan tersebut. Matching Condition Kondisi yang memicu aturan. Klik Add rule untuk menambahkan kondisi — hingga lima. Semua kondisi harus terpenuhi agar aturan dipicu. Untuk bidang yang didukung, lihat Fields in match conditions. Rate Limiting Alihkan untuk mengaktifkan rate limiting dan mengubah aturan ini menjadi aturan HTTP flood protection. Saat diaktifkan, konfigurasikan parameter rate limiting yang dijelaskan di bawah. Action Aksi yang dilakukan WAF saat aturan dipicu. Lihat Actions di bawah. TTL (Seconds) Durasi aksi tetap berlaku setelah rate limiting dipicu. Wajib diisi saat rate limiting diaktifkan. Protection Type Ditetapkan secara otomatis berdasarkan status rate limiting: ACL (rate limiting nonaktif) atau HTTP Flood Protection (rate limiting aktif). 
Jika Anda mengaktifkan rate limiting, konfigurasikan parameter rate limiting.
Parameter Deskripsi Statistical Object Atribut yang digunakan WAF untuk mengelompokkan dan menghitung permintaan. Lihat Statistical objects di bawah. Interval (Seconds) Jendela waktu penghitungan permintaan. Threshold (Occurrences) Jumlah maksimum permintaan yang diizinkan dari objek statistik dalam interval tersebut. Melebihi nilai ini akan memicu aksi. Status Code Menghitung jumlah atau persentase kode status HTTP tertentu dalam interval tersebut, bukan menghitung semua permintaan. Pilih Amount untuk batas jumlah, atau Percentage (%) untuk batas rasio. Take Effect For Permintaan mana yang dihitung: Feature Matching Objects hanya menghitung permintaan yang memenuhi kondisi pencocokan; Applied Domains menghitung semua permintaan ke domain tersebut. 
Klik Save.
PentingAturan langsung diaktifkan setelah Anda menyimpannya. Verifikasi kondisi pencocokan dan aksi sebelum menyimpan untuk menghindari dampak lalu lintas yang tidak diinginkan.
Setelah membuat aturan, Anda dapat melihat, mengaktifkan, menonaktifkan, mengubah, atau menghapusnya dari daftar aturan.
Actions
| Action | Perilaku |
|---|---|
| Monitor | Memicu peringatan tetapi tidak memblokir permintaan. Gunakan ini untuk mengevaluasi aturan baru sebelum diberlakukan. |
| Block | Memblokir permintaan. |
| CAPTCHA | Mengalihkan permintaan ke halaman verifikasi CAPTCHA. |
| Strict Captcha | Mengalihkan permintaan ke halaman verifikasi CAPTCHA slider yang lebih ketat. |
| JavaScript Validation | Melakukan validasi JavaScript pada permintaan. |
CAPTCHA dan JavaScript Validation hanya berlaku untuk halaman statis. Untuk permintaan asinkron (XMLHttpRequest atau Fetch), aktifkan validasi ini di modul manajemen bot. Untuk informasi selengkapnya, lihat Konfigurasikan aturan anti-crawler untuk website.
Saat rate limiting diaktifkan, mungkin terjadi latensi dalam perhitungan laju. WAF mengagregasi data permintaan dari beberapa server dalam kluster, yang dapat menyebabkan penundaan singkat sebelum aksi diterapkan.
Statistical objects
Objek statistik menentukan cara WAF mengidentifikasi dan mengelompokkan permintaan untuk penghitungan laju. Pilih berdasarkan kasus penggunaan Anda.
| Objek statistik | Apa yang dihitung WAF | Kapan digunakan |
|---|---|---|
| IP | Permintaan dari alamat IP yang sama. | Rate limiting umum ketika klien terhubung langsung tanpa proxy. |
| Session | Permintaan dari sesi yang sama. | Membatasi aktivitas per pengguna tanpa bergantung pada alamat IP. |
| Custom-Header | Permintaan yang memiliki nilai yang sama pada header permintaan tertentu. | Melacak permintaan berdasarkan ID pengguna, kunci API, atau header kustom lainnya. |
| Custom-Param | Permintaan yang memiliki nilai yang sama pada parameter kueri tertentu. | Melacak permintaan berdasarkan nilai parameter URL tertentu. |
| Custom-Cookie | Permintaan yang memiliki nilai yang sama pada cookie tertentu. | Melacak permintaan berdasarkan token sesi atau pengenal pengguna dalam cookie. |
Custom-Header, Custom-Param, dan Custom-Cookie tersedia pada edisi Bisnis dan lebih tinggi.
Kasus penggunaan umum
Contoh berikut menunjukkan cara menggabungkan kondisi pencocokan dan parameter rate limiting untuk skenario perlindungan umum.
Hotlink protection
Blokir situs eksternal dari penyematan file gambar atau media Anda.
| Parameter | Konfigurasi |
|---|---|
| Matching Condition | HTTP Referer tidak mengandung nama domain Anda |
| Rate Limiting | Nonaktif |
| Action | Block |
| Protection Type | ACL |
Website backend protection
Batasi akses ke path admin hanya untuk alamat IP yang berwenang.
| Parameter | Konfigurasi |
|---|---|
| Matching Condition | URL dimulai dengan /admin |
| Rate Limiting | Nonaktif |
| Action | Block (gabungkan dengan aturan daftar putih IP untuk mengizinkan IP admin) |
| Protection Type | ACL |
Login endpoint brute-force prevention
Batasi jumlah upaya login per alamat IP dalam jendela waktu tertentu.
| Parameter | Konfigurasi |
|---|---|
| Matching Condition | URL equals /login dan Method equals POST |
| Rate Limiting | On |
| Statistical Object | IP |
| Interval (Seconds) | 60 |
| Threshold (Occurrences) | 10 |
| Action | Block |
| TTL (Seconds) | 600 |
Langkah berikutnya
Konfigurasikan pemantauan dan peringatan untuk aturan kustom Anda menggunakan CloudMonitor dan Log Service. Saat lalu lintas sesuai dengan aturan kustom, Anda akan menerima pemberitahuan peringatan sehingga dapat merespons dengan cepat. Untuk informasi selengkapnya, lihat Konfigurasikan peringatan WAF.
Topik terkait: