All Products
Search
Document Center

Web Application Firewall:Apa itu WAF?

Last Updated:Jun 16, 2026

Web Application Firewall (WAF) melindungi situs web dan aplikasi Anda dengan memeriksa lalu lintas HTTP/HTTPS, memblokir permintaan serangan sebelum mencapai server Anda, serta hanya meneruskan lalu lintas sah. Aktifkan WAF dalam waktu kurang dari 5 menit—tanpa perubahan pada perangkat keras, perangkat lunak, atau konfigurasi routing.

Cara kerja WAF

WAF berada di antara pengguna dan server origin Anda. Untuk setiap permintaan masuk, WAF dapat:

  • Allow permintaan tersebut dan meneruskannya ke server Anda.

  • Block permintaan tersebut dan mengembalikan respons error ke klien.

  • Monitor permintaan tersebut—mencatatnya dan memicu peringatan tanpa memblokirnya.

Keputusan ini didasarkan pada aturan perlindungan yang Anda konfigurasikan, sinyal intelijen ancaman, serta mesin deteksi WAF. Anda mengontrol perilaku yang diterapkan untuk setiap jenis lalu lintas.

Kasus penggunaan

WAF melindungi lalu lintas HTTP/HTTPS untuk server web yang diterapkan di Alibaba Cloud maupun lingkungan lainnya. Solusi ini banyak digunakan di sektor jasa keuangan, e-commerce, O2O, Internet+, gaming, pemerintahan, dan asuransi.

Kemampuan keamanan inti

Perlindungan terhadap serangan aplikasi web

  • Perlindungan OWASP Top 10: Memblokir Injeksi SQL, skrip lintas situs (XSS), unggahan webshell, backdoor, injeksi perintah, permintaan HTTP tidak valid, akses tidak sah ke file inti, serta penelusuran jalur.

  • Website cloaking: Menyembunyikan alamat IP server origin Anda dari penyerang, sehingga mencegah mereka melewati WAF untuk menyerang origin secara langsung.

  • Patching virtual dan perlindungan 0-day: Menerapkan patch virtual untuk kerentanan berisiko tinggi dan 0-day dengan memperbarui aturan perlindungan secara cepat sebelum patch keamanan resmi tersedia.

  • Mode pemantauan: Untuk aplikasi baru, aktifkan mode pemantauan untuk mencatat peringatan terhadap lalu lintas mencurigakan tanpa memblokirnya. Gunakan fitur ini untuk mengidentifikasi dan menyesuaikan false positive sebelum beralih ke mode enforcement.

  • Teknologi inspeksi mendalam: Mengurai sepenuhnya format data HTTP umum—termasuk semua bidang header, data formulir, multipart, JSON, dan XML—serta mendekode URL, JavaScript Unicode, HEX, entitas HTML, serialisasi Java, serialisasi PHP, Base64, UTF-7, UTF-8, dan enkode bersarang campuran. Normalisasi whitespace, penghapusan komentar, serta penanganan karakter khusus lebih lanjut mengurangi false positive.

Serangan flood HTTP

  • Kontrol laju multi-dimensi: Mengontrol laju akses per IP sumber, memverifikasi identitas pengunjung melalui tantangan redirect dan pemeriksaan manusia/bot, serta mengidentifikasi pola serangan dengan mengorelasikan statistik kode respons, distribusi permintaan URL, serta header Referer dan User-Agent yang tidak normal.

  • Intelijen ancaman: Memanfaatkan kemampuan keamanan data besar Alibaba Cloud untuk membangun intelijen ancaman dan model akses tepercaya yang secara cepat membedakan lalu lintas jahat dari pengguna sah.

Kontrol akses granular

  • Kebijakan perlindungan kustom: Konfigurasikan aturan kontrol akses yang presisi menggunakan bidang HTTP umum seperti alamat IP, URL, Referer, dan User-Agent.

  • Perlindungan berbasis skenario: Dukungan bawaan untuk skenario pencegahan hotlinking dan perlindungan backend website.

  • Pertahanan berlapis: Terintegrasi dengan modul perlindungan serangan web dan perlindungan serangan flood HTTP untuk membangun pertahanan multi-lapis yang membedakan lalu lintas tepercaya dari lalu lintas jahat.

Manajemen bot

  • Laporan klasifikasi lalu lintas: Mengklasifikasikan lalu lintas bot sebagai jahat, mencurigakan, atau sah, serta menampilkan tren lalu lintas dan detail klien berisiko dalam laporan.

  • Cakupan lintas platform: Melindungi halaman web, H5, aplikasi native (iOS, Android, HarmonyOS), dan mini-program (WeChat, Alipay).

  • Deteksi end-to-end: Menerapkan pendeteksian bot sepanjang siklus hidup permintaan menggunakan lebih dari 100 fitur probe browser, lebih dari 7.000 jenis sidik jari klien, lebih dari 1 juta signature intelijen ancaman bot jahat, serta 6 algoritma pendeteksian bot canggih.

Keamanan API

  • Analisis lalu lintas pasif: Aktifkan deteksi hanya dengan satu klik. Mendukung manajemen API siklus hidup penuh dan memantau aliran data sensitif tanpa mengganggu layanan Anda.

  • Penemuan risiko: Mendeteksi kerentanan API, mengidentifikasi eksposur data sensitif yang tidak sah dan kebocoran API internal, serta memberikan saran remediasi.

  • Deteksi ancaman: Mengidentifikasi perilaku penyalahgunaan API—seperti scraping data dan serangan brute-force—melalui analisis lalu lintas dua arah lintas sesi. Mendukung tindakan respons langsung dari WAF.

Perlindungan aplikasi AI

  • Deteksi prompt injection: Mengidentifikasi perilaku adversarial yang menargetkan sistem AI generatif, termasuk jailbreaking, ajakan role-playing, dan manipulasi prompt sistem.

  • Deteksi kepatuhan konten: Memeriksa konten permintaan dan respons terhadap persyaratan keamanan dan regulasi.

  • Respons Real-time: Menggabungkan pemblokiran, penggantian konten, dan penarikan untuk menghentikan perilaku abnormal serta secara otomatis memodifikasi konten respons.

Penerapan dan arsitektur

Penerapan dan O&M sederhana

  • Aktivasi cepat: Terapkan WAF dalam waktu kurang dari 5 menit tanpa perubahan konfigurasi perangkat keras, perangkat lunak, atau routing.

  • Manajemen event terpusat: Gunakan laporan dan log keamanan untuk menganalisis peristiwa serangan, pola lalu lintas, dan skala serangan di satu tempat.

Arsitektur andal dan skalabel

  • Penerapan kluster: Arsitektur kluster menghilangkan single point of failure—kegagalan atau pemeliharaan satu server tidak memengaruhi ketersediaan keseluruhan.

  • Load balancing: Beberapa strategi load balancing bawaan memastikan pemrosesan lalu lintas berkinerja tinggi dan berdaya guna tinggi.

  • Auto scaling: Sesuaikan jumlah server dalam kluster Anda naik atau turun berdasarkan volume lalu lintas aktual.

Kepakaran terbukti dan pertahanan cerdas

  • Pengalaman keamanan lebih dari satu dekade: Dibangun berdasarkan praktik keamanan siber selama lebih dari sepuluh tahun dari dalam Alibaba Group, dengan kemampuan terbukti mendukung skenario berkonkurensi tinggi dan berkeamanan tinggi seperti Taobao, Tmall, dan Alipay. Tim keamanan khusus bertugas mempertahankan terhadap kerentanan yang diketahui termasuk OWASP Top 10 dan terus merespons kerentanan keamanan yang baru diungkap.

  • Intelijen berbasis data besar: Mempertahankan terhadap ratusan juta serangan setiap hari. WAF memanfaatkan pustaka intelijen ancaman IP terkemuka dunia dan repositori luas signature serangan lintas berbagai industri dan skenario, memungkinkan pengenalan mendalam terhadap pola, perilaku, dan muatan serangan utama. Model deteksi serangan terus ditingkatkan menggunakan analitik data besar dan pembelajaran mesin.

Untuk informasi lebih lanjut, lihat halaman produk Web Application Firewall.

Cara menggunakan WAF

How to use WAF

Untuk informasi lebih lanjut, lihat Lindungi Instance ECS dari Serangan Flood HTTP dengan WAF.

Perbedaan antara WAF, Cloud Firewall, dan Anti-DDoS

  • Web Application Firewall (WAF): Produk keamanan yang didedikasikan untuk lapisan aplikasi HTTP/HTTPS. WAF melakukan inspeksi mendalam terhadap permintaan web untuk mempertahankan terhadap serangan lapisan aplikasi.

  • Cloud Firewall (CFW): Produk kontrol akses perimeter jaringan terpadu untuk lingkungan cloud. CFW mengelola lalu lintas dan menyediakan Pencegahan Intrusi di batas Internet, VPC, dan NAT untuk mencegah intrusi lapisan jaringan dan pergerakan lateral.

  • Anti-DDoS: Melindungi terhadap serangan penolakan layanan terdistribusi (DDoS) skala besar dengan mengalihkan lalu lintas ke pusat pembersihan lalu lintas yang didistribusikan secara global. Anti-DDoS menyaring lalu lintas jahat untuk menjaga stabilitas dan ketersediaan layanan selama serangan.

Produk cloud

Web Application Firewall (WAF)

Cloud Firewall (CFW)

Anti-DDoS

Tingkat perlindungan

Lapisan aplikasi (L7)

Lapisan jaringan/transport (L3-L4)

Lapisan jaringan/transport (L3-L4) dan lapisan aplikasi (L7)

Mekanisme inti

Analisis semantik, pencocokan aturan, dan pemodelan perilaku

Kebijakan kontrol akses, inspeksi stateful, dan Sistem Pencegahan Intrusi (IPS)

Pembersihan traffic, penyaringan berbasis signature, dan penskalaan bandwidth

Serangan yang dapat dipertahankan

Injeksi SQL, XSS, unggahan webshell, serangan flood HTTP, bot jahat, dan penyalahgunaan API

Pemindaian port, serangan brute-force, akses tidak sah, cacing penambangan kripto, dan ancaman traffic timur-barat

Serangan volumetrik L3/L4 seperti Serangan SYN flood dan Banjir UDP, serta serangan lapisan aplikasi L7 seperti flood HTTP frekuensi tinggi

Kasus penggunaan

Mempertahankan website dan aplikasi terhadap perusakan, akses jahat, scraping oleh bot, dan penyalahgunaan API.

Memberlakukan kebijakan akses terpadu untuk aset cloud di titik masuk dan keluar jaringan publik. Mencegah serangan brute-force pada server dan pergerakan lateral dalam jaringan internal.

Menjamin kelangsungan layanan dan ketersediaan jaringan selama serangan volume tinggi tanpa kehilangan paket.

Untuk pertahanan berlapis (defense in depth), terapkan Anti-DDoS, Cloud Firewall, dan WAF secara bersamaan dalam arsitektur berlapis.

Hubungan antara RASP dan WAF

Runtime Application Self-Protection (RASP) adalah mekanisme keamanan yang terintegrasi dalam aplikasi yang mendeteksi dan memblokir serangan secara real time saat aplikasi berjalan. Untuk informasi lebih lanjut, lihat Terhubung ke Perlindungan Aplikasi.

RASP dan WAF merupakan teknologi saling melengkapi yang cocok untuk skenario keamanan berbeda:

  • RASP lebih efektif melawan ancaman lapisan aplikasi seperti eksploitasi 0-day dan serangan dalam lalu lintas terenkripsi.

  • WAF unggul dalam kontrol akses lapisan jaringan, geo-blocking, perlindungan serangan flood HTTP, dan serangan bot.

Untuk perlindungan komprehensif, terapkan RASP dan WAF secara bersamaan guna menciptakan sistem keamanan dua lapis yang menggabungkan pertahanan dalam aplikasi dan perimeter.

Sertifikasi kepatuhan

WAF mematuhi berbagai standar dan sertifikasi internasional, termasuk ISO 9001, ISO 20000, ISO 22301, ISO 27001, ISO 27017, ISO 27018, ISO 27701, ISO 29151, BS 10012, CSA STAR, MLPS Level 3, SOC 1/2/3, C5, HK Financial, OSPAR, dan PCI DSS.