Web Application Firewall (WAF) melindungi situs web dan aplikasi Anda dengan memeriksa lalu lintas HTTP/HTTPS, memblokir permintaan serangan sebelum mencapai server Anda, serta hanya meneruskan lalu lintas sah. Aktifkan WAF dalam waktu kurang dari 5 menit—tanpa perubahan pada perangkat keras, perangkat lunak, atau konfigurasi routing.
Cara kerja WAF
WAF berada di antara pengguna dan server origin Anda. Untuk setiap permintaan masuk, WAF dapat:
Allow permintaan tersebut dan meneruskannya ke server Anda.
Block permintaan tersebut dan mengembalikan respons error ke klien.
Monitor permintaan tersebut—mencatatnya dan memicu peringatan tanpa memblokirnya.
Keputusan ini didasarkan pada aturan perlindungan yang Anda konfigurasikan, sinyal intelijen ancaman, serta mesin deteksi WAF. Anda mengontrol perilaku yang diterapkan untuk setiap jenis lalu lintas.
Kasus penggunaan
WAF melindungi lalu lintas HTTP/HTTPS untuk server web yang diterapkan di Alibaba Cloud maupun lingkungan lainnya. Solusi ini banyak digunakan di sektor jasa keuangan, e-commerce, O2O, Internet+, gaming, pemerintahan, dan asuransi.
Kemampuan keamanan inti
Perlindungan terhadap serangan aplikasi web
Perlindungan OWASP Top 10: Memblokir Injeksi SQL, skrip lintas situs (XSS), unggahan webshell, backdoor, injeksi perintah, permintaan HTTP tidak valid, akses tidak sah ke file inti, serta penelusuran jalur.
Website cloaking: Menyembunyikan alamat IP server origin Anda dari penyerang, sehingga mencegah mereka melewati WAF untuk menyerang origin secara langsung.
Patching virtual dan perlindungan 0-day: Menerapkan patch virtual untuk kerentanan berisiko tinggi dan 0-day dengan memperbarui aturan perlindungan secara cepat sebelum patch keamanan resmi tersedia.
Mode pemantauan: Untuk aplikasi baru, aktifkan mode pemantauan untuk mencatat peringatan terhadap lalu lintas mencurigakan tanpa memblokirnya. Gunakan fitur ini untuk mengidentifikasi dan menyesuaikan false positive sebelum beralih ke mode enforcement.
Teknologi inspeksi mendalam: Mengurai sepenuhnya format data HTTP umum—termasuk semua bidang header, data formulir, multipart, JSON, dan XML—serta mendekode URL, JavaScript Unicode, HEX, entitas HTML, serialisasi Java, serialisasi PHP, Base64, UTF-7, UTF-8, dan enkode bersarang campuran. Normalisasi whitespace, penghapusan komentar, serta penanganan karakter khusus lebih lanjut mengurangi false positive.
Serangan flood HTTP
Kontrol laju multi-dimensi: Mengontrol laju akses per IP sumber, memverifikasi identitas pengunjung melalui tantangan redirect dan pemeriksaan manusia/bot, serta mengidentifikasi pola serangan dengan mengorelasikan statistik kode respons, distribusi permintaan URL, serta header Referer dan User-Agent yang tidak normal.
Intelijen ancaman: Memanfaatkan kemampuan keamanan data besar Alibaba Cloud untuk membangun intelijen ancaman dan model akses tepercaya yang secara cepat membedakan lalu lintas jahat dari pengguna sah.
Kontrol akses granular
Kebijakan perlindungan kustom: Konfigurasikan aturan kontrol akses yang presisi menggunakan bidang HTTP umum seperti alamat IP, URL, Referer, dan User-Agent.
Perlindungan berbasis skenario: Dukungan bawaan untuk skenario pencegahan hotlinking dan perlindungan backend website.
Pertahanan berlapis: Terintegrasi dengan modul perlindungan serangan web dan perlindungan serangan flood HTTP untuk membangun pertahanan multi-lapis yang membedakan lalu lintas tepercaya dari lalu lintas jahat.
Manajemen bot
Laporan klasifikasi lalu lintas: Mengklasifikasikan lalu lintas bot sebagai jahat, mencurigakan, atau sah, serta menampilkan tren lalu lintas dan detail klien berisiko dalam laporan.
Cakupan lintas platform: Melindungi halaman web, H5, aplikasi native (iOS, Android, HarmonyOS), dan mini-program (WeChat, Alipay).
Deteksi end-to-end: Menerapkan pendeteksian bot sepanjang siklus hidup permintaan menggunakan lebih dari 100 fitur probe browser, lebih dari 7.000 jenis sidik jari klien, lebih dari 1 juta signature intelijen ancaman bot jahat, serta 6 algoritma pendeteksian bot canggih.
Keamanan API
Analisis lalu lintas pasif: Aktifkan deteksi hanya dengan satu klik. Mendukung manajemen API siklus hidup penuh dan memantau aliran data sensitif tanpa mengganggu layanan Anda.
Penemuan risiko: Mendeteksi kerentanan API, mengidentifikasi eksposur data sensitif yang tidak sah dan kebocoran API internal, serta memberikan saran remediasi.
Deteksi ancaman: Mengidentifikasi perilaku penyalahgunaan API—seperti scraping data dan serangan brute-force—melalui analisis lalu lintas dua arah lintas sesi. Mendukung tindakan respons langsung dari WAF.
Perlindungan aplikasi AI
Deteksi prompt injection: Mengidentifikasi perilaku adversarial yang menargetkan sistem AI generatif, termasuk jailbreaking, ajakan role-playing, dan manipulasi prompt sistem.
Deteksi kepatuhan konten: Memeriksa konten permintaan dan respons terhadap persyaratan keamanan dan regulasi.
Respons Real-time: Menggabungkan pemblokiran, penggantian konten, dan penarikan untuk menghentikan perilaku abnormal serta secara otomatis memodifikasi konten respons.
Penerapan dan arsitektur
Penerapan dan O&M sederhana
Aktivasi cepat: Terapkan WAF dalam waktu kurang dari 5 menit tanpa perubahan konfigurasi perangkat keras, perangkat lunak, atau routing.
Manajemen event terpusat: Gunakan laporan dan log keamanan untuk menganalisis peristiwa serangan, pola lalu lintas, dan skala serangan di satu tempat.
Arsitektur andal dan skalabel
Penerapan kluster: Arsitektur kluster menghilangkan single point of failure—kegagalan atau pemeliharaan satu server tidak memengaruhi ketersediaan keseluruhan.
Load balancing: Beberapa strategi load balancing bawaan memastikan pemrosesan lalu lintas berkinerja tinggi dan berdaya guna tinggi.
Auto scaling: Sesuaikan jumlah server dalam kluster Anda naik atau turun berdasarkan volume lalu lintas aktual.
Kepakaran terbukti dan pertahanan cerdas
Pengalaman keamanan lebih dari satu dekade: Dibangun berdasarkan praktik keamanan siber selama lebih dari sepuluh tahun dari dalam Alibaba Group, dengan kemampuan terbukti mendukung skenario berkonkurensi tinggi dan berkeamanan tinggi seperti Taobao, Tmall, dan Alipay. Tim keamanan khusus bertugas mempertahankan terhadap kerentanan yang diketahui termasuk OWASP Top 10 dan terus merespons kerentanan keamanan yang baru diungkap.
Intelijen berbasis data besar: Mempertahankan terhadap ratusan juta serangan setiap hari. WAF memanfaatkan pustaka intelijen ancaman IP terkemuka dunia dan repositori luas signature serangan lintas berbagai industri dan skenario, memungkinkan pengenalan mendalam terhadap pola, perilaku, dan muatan serangan utama. Model deteksi serangan terus ditingkatkan menggunakan analitik data besar dan pembelajaran mesin.
Untuk informasi lebih lanjut, lihat halaman produk Web Application Firewall.
Cara menggunakan WAF

Untuk informasi lebih lanjut, lihat Lindungi Instance ECS dari Serangan Flood HTTP dengan WAF.
Perbedaan antara WAF, Cloud Firewall, dan Anti-DDoS
Web Application Firewall (WAF): Produk keamanan yang didedikasikan untuk lapisan aplikasi HTTP/HTTPS. WAF melakukan inspeksi mendalam terhadap permintaan web untuk mempertahankan terhadap serangan lapisan aplikasi.
Cloud Firewall (CFW): Produk kontrol akses perimeter jaringan terpadu untuk lingkungan cloud. CFW mengelola lalu lintas dan menyediakan Pencegahan Intrusi di batas Internet, VPC, dan NAT untuk mencegah intrusi lapisan jaringan dan pergerakan lateral.
Anti-DDoS: Melindungi terhadap serangan penolakan layanan terdistribusi (DDoS) skala besar dengan mengalihkan lalu lintas ke pusat pembersihan lalu lintas yang didistribusikan secara global. Anti-DDoS menyaring lalu lintas jahat untuk menjaga stabilitas dan ketersediaan layanan selama serangan.
Produk cloud | Web Application Firewall (WAF) | Cloud Firewall (CFW) | Anti-DDoS |
Tingkat perlindungan | Lapisan aplikasi (L7) | Lapisan jaringan/transport (L3-L4) | Lapisan jaringan/transport (L3-L4) dan lapisan aplikasi (L7) |
Mekanisme inti | Analisis semantik, pencocokan aturan, dan pemodelan perilaku | Kebijakan kontrol akses, inspeksi stateful, dan Sistem Pencegahan Intrusi (IPS) | Pembersihan traffic, penyaringan berbasis signature, dan penskalaan bandwidth |
Serangan yang dapat dipertahankan | Injeksi SQL, XSS, unggahan webshell, serangan flood HTTP, bot jahat, dan penyalahgunaan API | Pemindaian port, serangan brute-force, akses tidak sah, cacing penambangan kripto, dan ancaman traffic timur-barat | Serangan volumetrik L3/L4 seperti Serangan SYN flood dan Banjir UDP, serta serangan lapisan aplikasi L7 seperti flood HTTP frekuensi tinggi |
Kasus penggunaan | Mempertahankan website dan aplikasi terhadap perusakan, akses jahat, scraping oleh bot, dan penyalahgunaan API. | Memberlakukan kebijakan akses terpadu untuk aset cloud di titik masuk dan keluar jaringan publik. Mencegah serangan brute-force pada server dan pergerakan lateral dalam jaringan internal. | Menjamin kelangsungan layanan dan ketersediaan jaringan selama serangan volume tinggi tanpa kehilangan paket. |
Untuk pertahanan berlapis (defense in depth), terapkan Anti-DDoS, Cloud Firewall, dan WAF secara bersamaan dalam arsitektur berlapis.
Hubungan antara RASP dan WAF
Runtime Application Self-Protection (RASP) adalah mekanisme keamanan yang terintegrasi dalam aplikasi yang mendeteksi dan memblokir serangan secara real time saat aplikasi berjalan. Untuk informasi lebih lanjut, lihat Terhubung ke Perlindungan Aplikasi.
RASP dan WAF merupakan teknologi saling melengkapi yang cocok untuk skenario keamanan berbeda:
RASP lebih efektif melawan ancaman lapisan aplikasi seperti eksploitasi 0-day dan serangan dalam lalu lintas terenkripsi.
WAF unggul dalam kontrol akses lapisan jaringan, geo-blocking, perlindungan serangan flood HTTP, dan serangan bot.
Untuk perlindungan komprehensif, terapkan RASP dan WAF secara bersamaan guna menciptakan sistem keamanan dua lapis yang menggabungkan pertahanan dalam aplikasi dan perimeter.
Sertifikasi kepatuhan
WAF mematuhi berbagai standar dan sertifikasi internasional, termasuk ISO 9001, ISO 20000, ISO 22301, ISO 27001, ISO 27017, ISO 27018, ISO 27701, ISO 29151, BS 10012, CSA STAR, MLPS Level 3, SOC 1/2/3, C5, HK Financial, OSPAR, dan PCI DSS.