Web Application Firewall (WAF) memeriksa lalu lintas HTTP dan HTTPS yang masuk serta menerapkan aturan perlindungan untuk memblokir permintaan serangan sebelum mencapai server origin Anda. Halaman ini mencantumkan semua fitur perlindungan yang tersedia, status default-nya, serta tautan ke panduan konfigurasi.
Fitur perlindungan
Fitur yang ditandai On by default langsung aktif setelah Anda menambahkan nama domain. Semua fitur lainnya harus diaktifkan secara manual.
Keamanan web
| Feature | What it does | Default state |
|---|---|---|
| Protection rules engine | Memblokir serangan web umum berdasarkan aturan bawaan, termasuk Injeksi SQL, skrip lintas situs (XSS), webshell, injeksi perintah, isolasi backdoor, permintaan file tidak valid, penelusuran jalur, dan eksploitasi kerentanan umum. | On by default |
| Protection rule group | Memungkinkan Anda menggabungkan aturan perlindungan menjadi grup aturan kustom dan menerapkannya pada website tertentu. Grup aturan kustom hanya tersedia untuk protection rules engine. | Must be enabled |
| Website tamper-proofing | Mengunci halaman web tertentu sehingga WAF menyajikan salinan cache saat halaman tersebut diminta, mencegah modifikasi tidak sah. | Must be enabled |
| Data leakage prevention | Memindai tanggapan server dan menyamarkan data sensitif—seperti nomor KTP, nomor kartu bank, nomor telepon, dan kata sensitif—sebelum mengembalikan informasi yang telah disamarkan atau halaman error default kepada pengunjung. | Must be enabled |
| Positive security model | Menggunakan pembelajaran mesin untuk menganalisis pola traffic normal website Anda dan secara otomatis menghasilkan kebijakan keamanan yang disesuaikan berdasarkan garis dasar tersebut. | Must be enabled |
Manajemen bot
| Feature | What it does | Default state |
|---|---|---|
| Allowed crawlers | Mempertahankan daftar putih crawler mesin pencari tepercaya—Google, Bing, Baidu, Sogou, dan Yandex—dan mengizinkan mereka mengakses nama domain tertentu. | Must be enabled |
| Bot threat intelligence | Mengidentifikasi alamat IP mencurigakan yang terkait dengan dialer, pusat data lokal, dan pemindai berbahaya. Mempertahankan pustaka dinamis IP crawler berbahaya yang dikenal untuk memblokir akses ke website atau direktori tertentu Anda. | Must be enabled |
| Data risk control | Melindungi titik akhir yang penting bagi bisnis—seperti halaman registrasi, login, kampanye, dan forum—dari penipuan dan penyalahgunaan. | Must be enabled |
| Application protection | Menyediakan koneksi aman dan perlindungan anti-bot untuk aplikasi asli. Mendeteksi dan memblokir proxy, emulator, serta permintaan dengan tanda tangan tidak valid. | Must be enabled |
Kontrol akses dan pembatasan kecepatan
| Fitur | Fungsinya | Status default |
|---|---|---|
| HTTP flood protection | Melindungi dari serangan flood HTTP menggunakan mode perlindungan yang dapat dikonfigurasi. | Aktif secara default |
| IP address blacklist | Memblokir permintaan dari alamat IP, Blok CIDR, atau wilayah geografis tertentu. | Harus diaktifkan |
| Scan protection | Secara otomatis memblokir IP sumber yang memicu beberapa serangan web atau upaya penelusuran direktori terarah dalam jangka waktu singkat. Juga memblokir IP dari alat pemindaian umum dan pustaka IP berbahaya Alibaba Cloud. | Harus diaktifkan |
| Custom protection policies | Memungkinkan Anda menetapkan aturan kontrol akses dan pembatasan laju berdasarkan kondisi yang sesuai secara tepat. | Harus diaktifkan |
Protection Lab
| Feature | What it does | Default state |
|---|---|---|
| Account security | Memantau titik akhir otentikasi—seperti halaman registrasi dan login—terhadap ancaman termasuk credential stuffing, serangan brute-force, registrasi spam, sniffing password lemah, dan serangan banjir SMS. | Must be enabled |
Daftar putih
Konfigurasikan daftar putih untuk mengecualikan permintaan tertentu dari satu atau beberapa fitur perlindungan.
| Feature | Scope | Default state |
|---|---|---|
| Website whitelist | Permintaan yang sesuai melewati semua fitur perlindungan dan langsung menuju server origin. | Must be enabled |
| Web intrusion prevention whitelist | Permintaan yang sesuai melewati fitur keamanan web tertentu, seperti protection rules engine. | Must be enabled |
| Data security whitelist | Permintaan yang sesuai melewati website tamper-proofing, data leakage prevention, dan account security. | Must be enabled |
| Bot management whitelist | Permintaan yang sesuai melewati bot threat intelligence, data risk control, intelligent algorithm, dan application protection. | Must be enabled |
| Access control and throttling whitelist | Permintaan yang sesuai melewati HTTP flood protection, IP address blacklist, scan protection, dan custom protection policies. | Must be enabled |
Nonaktifkan perlindungan WAF
Untuk menonaktifkan perlindungan WAF, buka Asset Center > Website Access di Konsol WAF 2.0 dan matikan WAF Protection.
Saat perlindungan WAF dinonaktifkan, lalu lintas melewati mesin perlindungan WAF dan WAF berhenti mencatat log permintaan yang dipantau maupun diblokir. Jika Anda melakukan operasi seperti uji darurat yang memerlukan penonaktifan sementara perlindungan WAF, kami menyarankan agar Anda membuka halaman Protected Objects di Konsol WAF 2.0 dan mengaktifkan kembali perlindungan WAF setelah operasi selesai untuk melanjutkan pencatatan log permintaan yang dipantau dan diblokir. Hal ini membantu mengurangi potensi paparan aset Anda.
Jika Anda mengaktifkan modul API security, menonaktifkan perlindungan WAF tidak akan menghentikannya—proses deteksinya tetap berjalan, dan biaya traffic untuk modul API security tetap berlaku. Untuk instans WAF bayar sesuai penggunaan, biaya fitur dan biaya permintaan dasar juga tetap berjalan selama periode dinonaktifkan. Penagihan hanya dihentikan untuk manajemen bot, identifikasi risiko, dan aturan kustom.
Menonaktifkan perlindungan WAF tidak didukung untuk Microservices Engine (MSE) dan Function Compute (FC) yang ditambahkan ke WAF. Untuk website yang diterapkan di lingkungan cloud hibrida, menonaktifkan perlindungan WAF hanya berlaku jika versi cloud hibrida memenuhi kondisi tertentu. Untuk persyaratan versi, hubungi manajer bisnis Anda atau kirimkan ticket untuk menghubungi dukungan teknis Alibaba Cloud, yang akan memberikan informasi versi spesifik kepada Anda.