Topik ini menjelaskan fitur perlindungan situs web yang didukung oleh Web Application Firewall (WAF).
Modul | Fitur | Deskripsi | Cara mengaktifkan | Referensi |
Web Security | Protection rules engine | Melindungi situs web dari serangan umum seperti injeksi SQL, skrip lintas situs (XSS), webshell, injeksi perintah, isolasi backdoor, permintaan file tidak valid, penelusuran jalur, dan eksploitasi kerentanan umum berdasarkan aturan perlindungan bawaan. | Diaktifkan secara default setelah menambahkan nama domain. | |
Protection rule group | Menggabungkan aturan perlindungan untuk membuat grup aturan kustom dan menerapkannya ke situs tertentu sesuai kebutuhan bisnis Anda. Catatan Anda dapat membuat grup aturan kustom hanya untuk protection rules engine. | Harus diaktifkan setelah menambahkan nama domain. | Sesuaikan grup aturan perlindungan Praktik terbaik menggunakan grup aturan kustom untuk perlindungan ditingkatkan | |
Website tamper-proofing | Mengunci halaman web tertentu, seperti halaman dengan informasi sensitif. Halaman yang disimpan dalam cache di WAF dikembalikan saat diminta, mencegah pemalsuan halaman. | Harus diaktifkan setelah menambahkan nama domain. | ||
Data leakage prevention | Menyaring konten abnormal atau kata kunci sensitif yang dikembalikan dari server ke situs web dan menyamarkan informasi sensitif seperti nomor kartu identitas, nomor kartu bank, nomor telepon, serta kata-kata sensitif. | Harus diaktifkan setelah menambahkan nama domain. | ||
Positive security model | Menggunakan algoritma pembelajaran mesin Alibaba Cloud untuk menganalisis lalu lintas jaringan normal dan menghasilkan kebijakan perlindungan keamanan yang disesuaikan. | Harus diaktifkan setelah menambahkan nama domain. | ||
Bot Management | Allowed crawlers | Memelihara daftar putih crawler mesin pencari seperti Google, Bing, Baidu, Sogou, dan Yandex. Crawler ini diizinkan mengakses nama domain tertentu. | Harus diaktifkan setelah menambahkan nama domain. | |
Bot threat intelligence | Memberikan informasi tentang alamat IP mencurigakan dari dialer, pusat data lokal, dan pemindai jahat. Fitur ini juga mempertahankan pustaka IP dinamis dari crawler jahat dan mencegah akses ke situs web atau direktori tertentu. | Harus diaktifkan setelah menambahkan nama domain. | ||
Data risk control | Melindungi layanan penting seperti pendaftaran, logon, kampanye, dan forum dari penipuan. | Harus diaktifkan setelah menambahkan nama domain. | ||
Application protection | Memberikan koneksi aman dan perlindungan anti-bot untuk aplikasi asli. Mengidentifikasi proxy, emulator, dan permintaan dengan tanda tangan tidak valid. | Harus diaktifkan setelah menambahkan nama domain. | ||
Access Control/Throttling | HTTP flood protection | Melindungi dari serangan flood HTTP dan menyediakan kebijakan perlindungan dalam mode berbeda. | Diaktifkan secara default setelah menambahkan nama domain. | |
IP address blacklist | Memblokir permintaan akses dari alamat IP tertentu, blok CIDR, atau wilayah tertentu. | Harus diaktifkan setelah menambahkan nama domain. | ||
Scan protection | Secara otomatis memblokir permintaan dengan karakteristik tertentu, seperti alamat IP sumber yang memulai serangan web atau penelusuran direktori dalam waktu singkat, atau berasal dari alat pemindaian umum atau pustaka IP jahat Alibaba Cloud. | Harus diaktifkan setelah menambahkan nama domain. | ||
Custom protection policies | Menyesuaikan aturan kontrol akses dan mengonfigurasi pembatasan laju berdasarkan kondisi pencocokan yang tepat. | Harus diaktifkan setelah menambahkan nama domain. | ||
Protection Lab | Account security | Memantau antarmuka autentikasi pengguna, seperti titik akhir untuk pendaftaran dan logon, serta mendeteksi peristiwa yang dapat mengancam kredensial pengguna, termasuk stuffing kredensial, serangan brute-force, pendaftaran spam, sniffing kata sandi lemah, dan serangan flood SMS. | Harus diaktifkan setelah menambahkan nama domain. | |
Whitelists | Website whitelist | Permintaan yang cocok dengan aturan melewati semua fitur perlindungan dan langsung diteruskan ke server asal. | Harus diaktifkan setelah menambahkan nama domain. | |
Web intrusion prevention whitelist | Permintaan yang cocok dengan aturan melewati fitur perlindungan tertentu, seperti mesin aturan perlindungan. | Harus diaktifkan setelah menambahkan nama domain. | ||
Data security whitelist | Permintaan yang cocok dengan aturan melewati fitur perlindungan tertentu, seperti pencegahan perubahan situs web, pencegahan kebocoran data, dan keamanan akun. | Harus diaktifkan setelah menambahkan nama domain. | ||
Bot management whitelist | Setelah Anda mengonfigurasi aturan, permintaan yang cocok dengan aturan melewati fitur perlindungan tertentu, seperti intelijen ancaman bot, kontrol risiko data, algoritma cerdas, dan perlindungan aplikasi. | Harus diaktifkan setelah menambahkan nama domain. | ||
Access control and throttling whitelist | Permintaan yang cocok dengan aturan melewati fitur perlindungan tertentu, seperti perlindungan banjir HTTP, daftar hitam alamat IP, perlindungan pemindaian, dan kebijakan perlindungan kustom. | Harus diaktifkan setelah menambahkan nama domain. |
Nonaktifkan perlindungan WAF
Untuk menonaktifkan perlindungan WAF, pilih Asset Center > Website Access, lalu matikan WAF Protection di konsol WAF 2.0.
Setelah menonaktifkan perlindungan WAF, lalu lintas ke situs web yang sebelumnya dilindungi oleh WAF tidak lagi melewati mesin perlindungan WAF, dan WAF berhenti mencatat permintaan yang dipantau atau diblokir. Jika Anda melakukan operasi seperti tes darurat yang memerlukan perlindungan WAF sementara dinonaktifkan, kami sarankan mengaktifkan kembali perlindungan WAF setelah operasi selesai untuk melanjutkan pencatatan permintaan yang dipantau dan diblokir. Ini membantu mengurangi potensi paparan aset Anda. Jika modul keamanan API dikonfigurasi, proses deteksi terkait tetap berjalan meskipun perlindungan WAF dinonaktifkan.
Jika menggunakan instance WAF bayar sesuai pemakaian dan menonaktifkan perlindungan WAF sementara, biaya fitur dan biaya permintaan dasar tetap berlaku selama periode tersebut. Jika modul keamanan API diaktifkan, biaya lalu lintas untuk modul tersebut juga dikenakan. Penagihan untuk manajemen bot, identifikasi risiko, dan aturan kustom ditangguhkan.
Menonaktifkan perlindungan WAF untuk Microservices Engine (MSE) dan Function Compute yang ditambahkan ke WAF tidak didukung. Untuk situs web yang diterapkan di cloud hybrid, konfigurasi hanya berlaku jika versi cloud hybrid memenuhi kondisi tertentu. Untuk informasi lebih lanjut, hubungi manajer bisnis Anda atau buka halaman Tiket untuk berkonsultasi. Dukungan teknis Alibaba Cloud akan memberikan informasi versi spesifik.