All Products
Search

This Product

    Web Application Firewall:Aturan kustom

    Document Center

    Web Application Firewall:Aturan kustom

    Last Updated:Jun 19, 2026

    Saat Anda memerlukan perlindungan yang tepat terhadap serangan tertentu—seperti panggilan API berbahaya, permintaan mencurigakan, atau pemindaian frekuensi tinggi—gunakan aturan kustom untuk membangun strategi perlindungan yang disesuaikan dengan kondisi pencocokan dan aksi aturan yang fleksibel.

    Konsep utama

    • Aturan kustom: Salah satu modul perlindungan dalam Core Web Protection. Sebelum mengaktifkan modul ini, Anda harus membuat Template perlindungan. Sistem mendukung beberapa Template perlindungan.

    • Template perlindungan: Kumpulan aturan perlindungan yang menentukan konten dan cakupan aturan spesifik. Template perlindungan terdiri dari tiga bagian: jenis template, aturan perlindungan, dan objek penerapan.

      • Jenis template: Ditentukan saat Anda membuat Template perlindungan dan tidak dapat diubah setelahnya. Tersedia dua jenis template:

        Jenis template

        Deskripsi

        Skenario penerapan

        Template perlindungan default

        • Secara default, template diterapkan ke semua objek yang dilindungi dan kelompok objek, termasuk yang baru ditambahkan.

        • Anda dapat mengecualikan objek tertentu secara manual dengan mengatur statusnya menjadi "Not Applied".

        • Hanya satu template perlindungan default yang dapat dibuat dalam modul Aturan Kustom.

        Terapkan aturan perlindungan tujuan umum yang perlu diterapkan secara global.

        Template perlindungan kustom

        Anda harus menentukan secara manual objek yang dilindungi atau kelompok objek tempat template diterapkan.

        Terapkan aturan perlindungan detail halus untuk skenario bisnis tertentu, seperti API login atau pembayaran.

      • Aturan perlindungan: Menentukan logika deteksi dan aksi respons spesifik. Satu Template perlindungan dapat berisi beberapa aturan perlindungan. Setiap aturan terdiri dari tiga bagian:

        • Kondisi pencocokan: Menentukan karakteristik permintaan yang akan dideteksi, seperti path permintaan atau alamat IP klien.

        • Jenis aturan perlindungan: Didukung tiga dimensi deteksi: Access Control, Rate Limiting, dan Extension Execution.

        • Aksi aturan: Menentukan aksi yang diambil saat aturan dicocokkan. Aksi aturan diprioritaskan dari tertinggi ke terendah: Block, Strict CAPTCHA, CAPTCHA, JavaScript Validation, dan Log.

          Catatan

          Saat suatu permintaan mencocokkan beberapa aturan dengan aksi aturan yang sama dalam modul perlindungan yang sama, salah satu aturan yang cocok dipilih secara acak.

      • Apply to: Menentukan target penerapan Template perlindungan. Anda menggunakan pengaturan ini untuk menerapkan aturan perlindungan ke objek yang dilindungi atau kelompok objek yang ditentukan. Satu objek yang dilindungi atau kelompok objek dapat dikaitkan dengan beberapa Template perlindungan.

        • Objek yang dilindungi: Sistem secara otomatis membuat objek yang dilindungi untuk setiap nama domain atau instans layanan cloud yang ditambahkan ke WAF.

        • Kelompok objek yang dilindungi: Anda dapat menambahkan beberapa objek yang dilindungi ke dalam kelompok objek yang dilindungi untuk manajemen terpusat.

    Prosedur

    Catatan

    Sebelum melanjutkan, pastikan objek yang dilindungi sudah ada (bisnis web Anda telah ditambahkan ke WAF). Jika bisnis Anda belum ditambahkan, lihat Ikhtisar.

    Masuk ke Konsol Web Application Firewall 3.0. Di bilah navigasi atas, pilih kelompok sumber daya dan wilayah (Chinese Mainland atau Outside Chinese Mainland) instans WAF Anda. Di panel navigasi kiri, pilih Protection Config > Core Web Protection.

    Langkah 1: Konfigurasikan jenis template perlindungan

    Di bagian Custom Rule pada halaman Core Web Protection, klik Create Template. Di panel Create Template, konfigurasikan parameter berikut.

    • Template Name: Masukkan nama untuk template.

    • Save as Default Template: Anda hanya dapat mengonfigurasi satu template default dalam modul Aturan Kustom, dan hanya dapat mengaturnya saat membuat template baru.

      • Yes: Anda tidak perlu mengonfigurasi Apply To. Secara default, template diterapkan ke semua objek yang dilindungi dan kelompok objek, termasuk yang baru ditambahkan. Anda dapat mengecualikan objek tertentu secara manual dengan mengatur statusnya menjadi "Not Applied".

      • No: Anda harus mengonfigurasi Apply To untuk menentukan secara manual objek yang dilindungi atau kelompok objek tempat template diterapkan.

    Langkah 2: Tambahkan aturan perlindungan ke template perlindungan

    Di bagian Rule Configuration, klik Create Rule, dan konfigurasikan parameter berikut.

    • Rule Name: Masukkan nama untuk aturan.

    • Match Condition: Konfigurasikan karakteristik permintaan yang harus dicocokkan oleh aturan. Klik Add Condition untuk menambahkan kondisi. Setiap kondisi terdiri dari Match Field, Logical Operator, dan Match Content. Tabel berikut memberikan contoh konfigurasi:

      Catatan

      • Jika suatu aturan berisi beberapa kondisi, permintaan harus mencocokkan semua kondisi (logika AND) agar memicu aturan tersebut. Untuk informasi lebih lanjut tentang bidang pencocokan dan operator logika, lihat Match conditions.

      • Untuk menerapkan aturan yang sama ke beberapa titik akhir (URI), kami merekomendasikan penggunaan operator logika Contains One of Multiple Values dalam satu aturan (untuk membuat hubungan OR).

      Match Field

      Logical Operator

      Match Content

      Deskripsi

      URI Path

      Contains

      /login.php

      Jika path permintaan berisi /login.php, permintaan tersebut cocok dengan aturan ini.

      IP

      Belongs To

      192.1.XX.XX

      Jika alamat IP klien adalah 192.1.XX.XX, permintaan tersebut cocok dengan aturan ini.

    • Protection Rule Type: Didukung tiga jenis: Access Control, Rate Limiting, dan Extension Execution.

      • Access Control: Cocok untuk skenario yang memerlukan kontrol tepat atas jenis permintaan tertentu.

      • Rate Limiting: Cocok untuk skenario berdasarkan frekuensi akses, seperti anti-penyalahgunaan atau anti-serangan brute-force. Fitur ini hanya didukung oleh instans Edisi Perusahaan, Edisi Ultimate, dan instans berbayar sesuai penggunaan.

      • Extension Execution: Cocok untuk skenario kontrol keamanan personalisasi yang memerlukan skrip Lua kustom untuk logika bisnis kompleks. Konfigurasikan Extensions terlebih dahulu.

      Access Control

      Konfigurasikan aturan access control untuk melakukan aksi tertentu pada permintaan individual yang memenuhi kondisi spesifik.

      Rate Limiting

      Konfigurasikan aturan rate limiting untuk mencegah akses klien berlebihan.

      • Kondisi deteksi laju: Ketika jumlah kali suatu Statistical Object mencocokkan aturan dalam Statistical Interval (Seconds) yang ditentukan melebihi Threshold (Times) yang dikonfigurasi, aksi blacklist dipicu.

        Parameter

        Deskripsi

        Statistical Object

        Pilih objek tempat frekuensi permintaan dihitung. Nilai yang valid:

        • IP: Menghitung frekuensi permintaan dari alamat IP yang sama.

        • Custom Header: Mengelompokkan permintaan berdasarkan nilai header permintaan kustom (seperti Referer) dan menghitung frekuensi permintaan untuk setiap kelompok dengan nilai header yang sama dalam periode waktu tertentu.

        • Custom Parameter: Menghitung frekuensi permintaan untuk permintaan yang berisi parameter URL tertentu. Misalnya, jika parameternya adalah user_id, WAF menghitung frekuensi permintaan untuk permintaan yang memiliki nilai user_id yang sama.

        • Custom Cookie: Menghitung frekuensi permintaan HTTP yang berisi cookie tertentu dalam periode waktu tertentu. Misalnya, ketika nama cookie kustom adalah User, sistem menghitung kemunculan setiap nilai User dalam periode waktu tersebut.

        • Session: WAF membuat pengidentifikasi sesi dengan menyetel cookie bernama acw_tc dalam respons, dan menghitung frekuensi permintaan klien berdasarkan nilai cookie ini.

        • Account: Menghitung frekuensi permintaan dari akun yang sama. Anda harus mengonfigurasi User Identification di halaman Protected Objects sebelum dapat mengonfigurasi opsi ini. Untuk informasi lebih lanjut, lihat Konfigurasikan objek yang dilindungi dan kelompok objek yang dilindungi.

        Statistical Interval (Seconds)

        Tentukan jendela waktu untuk menghitung permintaan, dalam satuan detik.

        Threshold (Times)

        Tentukan jumlah maksimum kali suatu Statistical Object dapat mencocokkan Match Condition dalam Statistical Interval (Seconds).

      • Kondisi deteksi kode respons: Ketika Quantity atau Percentage (%) respons dengan Status Code tertentu melebihi ambang batas yang ditentukan, aksi blacklist dipicu. Setelah Anda mengaktifkan deteksi kode respons, objek statistik harus memenuhi kedua kondisi deteksi laju dan kondisi fitur kode respons untuk memicu aksi blacklist.

        Parameter

        Deskripsi

        Status Code

        Tentukan kode status yang akan dihitung.

        Quantity

        Tentukan jumlah maksimum kali Status Code tertentu muncul dalam respons dalam periode statistik.

        Percentage (%)

        Tentukan persentase maksimum respons dengan Status Code tertentu dalam periode statistik.

      • Kondisi aksi blacklist: Tambahkan objek statistik yang memenuhi kondisi deteksi sebelumnya ke dalam blacklist. Dalam Timeout Period, aksi yang ditentukan dalam Rule Action dieksekusi untuk permintaan dari objek yang masuk daftar hitam dalam cakupan Apply To.

        Parameter

        Deskripsi

        Apply To

        Tentukan cakupan aksi blacklist. Nilai yang valid:

        • Current Match Condition: Aksi hanya diterapkan pada permintaan yang mencocokkan Match Condition aturan saat ini.

        • Protected Object: Aksi diterapkan pada semua permintaan dari objek statistik (seperti alamat IP) ke objek yang dilindungi saat ini.

        Timeout Period

        Tentukan durasi efektivitas aksi blacklist. Satuan: detik. Nilai yang valid: 60 hingga 86400.

      Extension Execution

      Pilih dari aturan plugin ekstensi yang telah dikonfigurasi untuk menerapkan kontrol keamanan personalisasi.

      Catatan

      Aturan Extension Execution hanya mendukung dua aksi aturan: Block dan Log.

    • Rule Action: Pilih aksi perlindungan yang akan dieksekusi saat permintaan mencocokkan aturan.

      Parameter

      Deskripsi

      JavaScript Validation

      WAF mengembalikan kode validasi JavaScript ke klien. Browser standar secara otomatis mengeksekusi kode ini. Jika klien berhasil menyelesaikan eksekusi, WAF mengizinkan semua permintaan dari klien tersebut selama periode waktu tertentu (30 menit secara default). Jika tidak, permintaan tersebut diblokir.

      Block

      Memblokir permintaan yang mencocokkan aturan dan mengembalikan halaman respons blokir ke klien.

      Catatan

      WAF menggunakan halaman respons blokir default terpadu. Anda juga dapat menyesuaikan halaman respons blokir dengan menggunakan fitur Custom Response.

      Log

      Tidak memblokir permintaan yang mencocokkan aturan, tetapi mencatat kecocokan tersebut. Saat menguji aturan, Anda dapat menggunakan mode Log terlebih dahulu untuk menganalisis log WAF dan memverifikasi bahwa tidak ada permintaan sah yang diblokir, lalu beralih ke aksi aturan lainnya.

      CAPTCHA

      WAF mengembalikan halaman CAPTCHA slider ke klien. Jika klien berhasil menyelesaikan CAPTCHA, WAF mengizinkan semua permintaan dari klien tersebut selama periode waktu tertentu (30 menit secara default). Jika tidak, permintaan tersebut diblokir.

      Strict CAPTCHA

      WAF mengembalikan halaman CAPTCHA slider ke klien. Jika klien berhasil menyelesaikan CAPTCHA, permintaan tersebut diizinkan. Jika tidak, permintaan tersebut diblokir. Dalam mode ini, setiap permintaan dari klien yang mencocokkan aturan ini memerlukan verifikasi CAPTCHA.

      Catatan

      • Hanya instans berbayar sesuai penggunaan serta instans Edisi Perusahaan dan Edisi Ultimate yang mendukung CAPTCHA.

      • JavaScript Validation dan CAPTCHA hanya berlaku untuk permintaan sinkron. Untuk permintaan asinkron, seperti yang dikirim menggunakan XMLHttpRequest atau Fetch API, Anda harus menyisipkan Web SDK. Jika tidak, fitur-fitur ini tidak berfungsi dengan baik. Untuk informasi lebih lanjut, lihat bagian validasi JS dan CAPTCHA dalam Bot management.

      • Setelah Anda mengaktifkan JavaScript Validation atau CAPTCHA dan klien berhasil lolos verifikasi, WAF menyetel cookie bernama acw_sc__v2 (untuk JavaScript Validation) atau acw_sc__v3 (untuk CAPTCHA) dalam header respons menggunakan Set-Cookie. Klien menyertakan pengidentifikasi ini dalam header Cookie permintaan berikutnya.

    • Advanced Settings (Opsional): Fitur lanjutan berikut hanya didukung oleh instans Edisi Perusahaan, Edisi Ultimate, dan instans berbayar sesuai penggunaan.

      Parameter

      Deskripsi

      Canary Rule

      Konfigurasikan proporsi objek di berbagai dimensi tempat aturan diterapkan.

      Setelah Anda mengaktifkan rilis canary, Anda juga harus mengonfigurasi Dimension dan Canary Release Proportion. Nilai yang valid untuk Dimension meliputi: IP, Custom Header, Custom Parameter, Custom Cookie, dan Session.

      Catatan

      Rilis canary berlaku berdasarkan Dimension yang dikonfigurasi, bukan dengan menerapkan aturan secara acak ke permintaan sesuai proporsi yang ditentukan. Misalnya, ketika Dimension diatur ke IP dan Canary Release Proportion diatur ke 10%, WAF memilih sekitar 10% alamat IP. Semua permintaan dari alamat IP yang dipilih tunduk pada aturan tersebut, bukan menerapkan aturan ke 10% dari semua permintaan secara acak.

      Effective Mode

      • Permanently Effective (default): Aturan berlaku permanen saat template perlindungan diaktifkan.

      • Fixed Schedule: Aturan hanya berlaku dalam periode waktu tertentu.

      • Recurring Schedule: Aturan hanya berlaku dalam siklus waktu berulang tertentu.

    Langkah 3: Konfigurasikan objek penerapan untuk template perlindungan

    Di bagian Apply To, pilih objek yang dilindungi dan kelompok objek yang dilindungi tempat template diterapkan.

    Perilaku penerapan bergantung pada konfigurasi di Langkah 1:

    • Set sebagai template perlindungan default: Anda tidak perlu mengonfigurasi objek penerapan. Secara default, template diterapkan ke semua objek yang dilindungi dan kelompok objek, termasuk yang baru ditambahkan. Anda dapat mengecualikan objek tertentu secara manual dengan mengatur statusnya menjadi "Not Applied".

    • Tidak diatur sebagai template perlindungan default: Anda harus menentukan secara manual objek yang dilindungi dan kelompok objek yang dilindungi tempat template diterapkan.

    Catatan

    Anda dapat menyesuaikan status penerapan objek yang dilindungi atau kelompok objek yang dilindungi secara manual baik selama maupun setelah pembuatan template.

    Contoh konfigurasi aturan perlindungan

    Penting

    Contoh konfigurasi berikut hanya untuk referensi. Sebelum menerapkan aturan di lingkungan produksi, Anda harus menyesuaikannya berdasarkan trafik bisnis aktual dan karakteristik serangan Anda. Menyalin dan menerapkan contoh berikut secara langsung dapat menyebabkan gangguan bisnis atau perlindungan yang tidak efektif.

    Batasi akses panel admin hanya ke alamat IP tertentu

    Blokir semua permintaan akses ke path /wp-admin, dan izinkan hanya permintaan dari alamat IP administrator 192.1.XX.XX.

    • Match Condition:

      • Atur Match Field ke IP, Logical Operator ke Not Belong To, dan Match Content ke alamat IP allowlist administrator 192.1.XX.XX.

      • Atur Match Field ke URI Path, Logical Operator ke Contains, dan Match Content ke path halaman web yang ingin Anda batasi aksesnya: /wp-admin.

    • Protection Rule Type: Access Control.

    • Rule Action: Block.

    Blokir crawler dan pemindai berbahaya

    Saat mengonfigurasi aturan kustom, Anda dapat merujuk pola User-Agent (UA) umum berikut untuk membantu mengidentifikasi jenis trafik:

    • Alat pemindaian keamanan: seperti sqlmap, nmap, nikto, dan lainnya (umum digunakan untuk pemindaian kerentanan).

    • Skrip dan library otomatis: seperti python-requests, Python-urllib, curl/, Wget/, dan lainnya (umum digunakan untuk akses berbasis skrip atau non-browser).

    • Crawler pengikisan data: seperti MJ12bot, AhrefsBot, SemrushBot, dan lainnya (digunakan untuk analisis SEO atau pengikisan konten).

    • Bot mesin pencari utama: seperti Googlebot, Baiduspider, dan bingbot.

    • Pengidentifikasi perangkat seluler: seperti Mobile, Android, iPhone, dan iPad.

    Catatan

    Mengandalkan string UA saja tidak cukup untuk mengidentifikasi trafik berbahaya—penyerang sering menyamar UA mereka agar tampak seperti browser normal. Saat mengonfigurasi aturan kustom, kami merekomendasikan agar Anda menggabungkan reputasi IP, frekuensi akses, dan log WAF untuk analisis komprehensif guna menghindari pemblokiran permintaan sah.

    Contoh berikut memblokir permintaan HTTP yang UA-nya berisi bot.

    • Match Condition: Atur Match Field ke User-Agent, Logical Operator ke Contains, dan Match Content ke pola UA bot.

    • Protection Rule Type: Access Control.

    • Rule Action: Block.

    Aktifkan validasi bot untuk halaman website

    Aktifkan validasi JavaScript untuk path permintaan yang diakses secara berbahaya (seperti /index.php) untuk memblokir alat serangan otomatis tanpa memengaruhi akses browser normal.

    Catatan

    • Untuk halaman statis, Anda dapat mengonfigurasi aturan validasi JavaScript atau CAPTCHA untuk memastikan permintaan berasal dari browser standar yang dapat mengeksekusi JavaScript. Metode validasi ini hanya berlaku untuk permintaan sinkron, bukan untuk permintaan asinkron seperti yang dikirim oleh XMLHttpRequest atau Fetch API.

    • Untuk titik akhir API backend yang digunakan untuk komunikasi antar layanan, kami merekomendasikan agar Anda tidak mengonfigurasi Run JavaScript Validation. Run JavaScript Validation memerlukan lingkungan browser untuk dieksekusi, sedangkan pemanggil API biasanya merupakan program sisi server atau skrip otomatis yang tidak dapat mengurai dan mengeksekusi kode JavaScript. Hal ini akan menyebabkan permintaan sah terus-menerus diblokir. Kami merekomendasikan agar Anda mengecualikan titik akhir API dari cakupan Run JavaScript Validation saat mengonfigurasi kondisi pencocokan.

    • Match Condition: Atur Match Field ke URI Path, Logical Operator ke Contains, dan Match Content ke /index.php.

    • Protection Rule Type: Access Control.

    • Rule Action: Run JavaScript Validation atau Run Slider CAPTCHA.

    Batasi laju titik akhir API

    Aktifkan pembatasan laju untuk semua titik akhir kecuali example.com/api/pay. Contoh berikut mengasumsikan bahwa semua URI titik akhir API berisi string /api.

    • Match Condition:

      • Atur Match Field ke URI Path, Logical Operator ke Not Equal To, dan Match Content ke /api/pay.

      • Atur Match Field ke URI Path, Logical Operator ke Contains, dan Match Content ke /api.

    • Protection Rule Type: Rate Limiting.

    • Statistical Object: IP.

    • Statistical Interval (Seconds): 10.

    • Threshold (Times): 5.

    • Apply To: Current Match Condition.

    • Timeout Period: 1800.

    • Rule Action: Block.

    Terapkan ke lingkungan produksi

    Untuk menghindari gangguan pada operasi bisnis normal, jangan langsung membuat dan mengaktifkan aturan perlindungan dengan aksi Block di lingkungan produksi. Kami merekomendasikan agar Anda mengikuti langkah-langkah berikut untuk penerapan.

    1. Analisis karakteristik permintaan: Gunakan Laporan keamanan dan log WAF untuk mengidentifikasi karakteristik permintaan bisnis sah dan serangan berbahaya (seperti alamat IP, string User-Agent, header, dan URI). Jika Anda berencana mengonfigurasi aturan pembatasan laju, Anda juga harus menentukan garis dasar frekuensi permintaan trafik bisnis normal Anda.

    2. Konfigurasikan allowlist: Sebelum membuat template aturan kustom, kami merekomendasikan agar Anda membuat aturan allowlist untuk menambahkan alamat IP tepercaya ke dalam allowlist. Hal ini mencegah permintaan tepercaya diblokir oleh aturan baru.

    3. Uji dengan rilis canary: Setelah membuat aturan kustom, gunakan salah satu metode berikut untuk mengamati dan menguji aturan sebelum menerapkannya ke lingkungan produksi.

      • Terapkan aturan ke lingkungan non-produksi untuk pengujian.

      • Atur Rule Action ke Log.

      • Aktifkan Canary Rule di Advanced Settings.

    4. Analisis hasil pengujian: Setelah aturan berjalan selama periode waktu tertentu, tinjau laporan keamanan dan log untuk memeriksa apakah permintaan yang mencocokkan aturan merupakan positif palsu.

    5. Terapkan ke produksi: Setelah Anda memastikan bahwa tingkat positif palsu berada dalam kisaran yang dapat diterima, ubah aksi aturan ke aksi target dan terapkan ke lingkungan produksi.

    6. Monitor dan optimalkan secara berkelanjutan: Tinjau terus-menerus laporan keamanan dan log. Sesuaikan dan optimalkan aturan secara dinamis berdasarkan perubahan trafik bisnis dan efektivitas perlindungan aktual.

    Operasi harian

    Kelola template perlindungan

    Template perlindungan yang baru dibuat diaktifkan secara default. Anda dapat melakukan operasi berikut dalam daftar template perlindungan:

    • Lihat jumlah entri Protected Object/Group yang terkait dengan template.

    • Aktifkan atau nonaktifkan template menggunakan sakelar Status.

    • Create Rule untuk template tersebut.

    • Edit, Delete, atau Copy template perlindungan.

    • Klik ikon Expand icon di sebelah kiri nama template perlindungan untuk melihat aturan yang terdapat dalam template tersebut.

    Kelola aturan perlindungan

    Aturan yang baru dibuat diaktifkan secara default. Anda dapat melakukan operasi berikut dalam daftar aturan:

    • Lihat informasi seperti Rule ID dan Rule Condition.

    • Aktifkan atau nonaktifkan aturan menggunakan sakelar Status.

    • Edit atau Delete aturan.

    Kuota dan batasan

    • Hanya instans berbayar sesuai penggunaan, Edisi Perusahaan, dan Edisi Ultimate yang mendukung CAPTCHA, Rate Limiting, dan Advanced Settings.

    • Satu aturan perlindungan dapat memiliki maksimal lima entri Match Condition.

    • Saat menggunakan operator logika seperti Equals One of Multiple Values atau Contains One of Multiple Values, Anda dapat memasukkan maksimal 50 nilai konten pencocokan. Untuk mencocokkan lebih dari 50 nilai, kami merekomendasikan agar Anda membaginya menjadi beberapa aturan atau menggunakan alternatif seperti Contains atau Regex Match.

    FAQ

    Mengapa aturan yang saya konfigurasi tidak berlaku?

    Jika aturan yang dikonfigurasi tidak berlaku seperti yang diharapkan, periksa hal-hal berikut secara berurutan:

    • Objek yang dilindungi tidak dikaitkan: Verifikasi bahwa template aturan kustom dikaitkan dengan entri Protected Object/Group tertentu (seperti instans ALB atau nama domain). Jika tidak ada objek yang dilindungi yang ditambahkan, aturan tidak berlaku.

    • Status template dan aturan: Verifikasi bahwa template perlindungan dan aturan spesifik berada dalam status "Enabled". image

    • Akurasi kondisi pencocokan: Verifikasi apakah Match Field, Logical Operator, dan Match Content dapat dicocokkan dengan benar oleh permintaan. Saat menggunakan ekspresi reguler, pastikan untuk melakukan escape karakter khusus dengan benar.

    • Aturan lain: Verifikasi apakah Anda telah mengonfigurasi aturan perlindungan atau modul perlindungan lainnya. Misalnya, aturan allowlist dapat mengizinkan permintaan lolos sebelum aturan kustom dievaluasi.

    Bagaimana cara mengonfigurasi pembatasan laju saat beberapa nama domain mengarah ke instans layanan cloud yang sama?

    Aturan pembatasan laju membatasi frekuensi permintaan objek statistik yang sama berdasarkan dimensi objek yang dilindungi. Jika instans layanan cloud mencakup trafik dari beberapa nama domain, sistem menggabungkan frekuensi akses di semua nama domain saat menghitung statistik. Untuk membatasi frekuensi akses hanya untuk nama domain tertentu, Anda dapat menggunakan salah satu metode berikut:

    • Tambahkan nama domain sebagai objek yang dilindungi di WAF, dan terapkan aturan pembatasan laju ke objek nama domain ini. Untuk informasi lebih lanjut, lihat Konfigurasikan objek yang dilindungi dan kelompok objek yang dilindungi.

    • Dalam Match Condition aturan pembatasan laju, gunakan bidang Host untuk menentukan nama domain tempat Anda ingin membatasi frekuensi akses.

    Apa yang dialami klien saat permintaan mencocokkan aturan dengan pengaturan Rule Action yang berbeda?

    • Rule Action diatur ke Log:

      • Apakah permintaan pengguna mencapai server origin setelah aturan dicocokkan: Ya.

      • Pengalaman pengguna setelah aturan dicocokkan: Sama seperti saat WAF tidak diaktifkan.

    • Rule Action diatur ke Block:

      • Apakah permintaan pengguna mencapai server origin setelah aturan dicocokkan: Tidak.

      • Pengalaman pengguna setelah aturan dicocokkan: Secara default, halaman berikut dikembalikan.

        image

    • Rule Action diatur ke JavaScript Validation dan pengguna lolos verifikasi (seperti browser biasa):

      • Apakah permintaan pengguna mencapai server origin setelah aturan dicocokkan: Ya.

      • Pengalaman pengguna setelah aturan dicocokkan: Proses validasi transparan bagi pengguna. WAF mengirimkan pengidentifikasi validasi dengan menyetel Set-Cookie: acw_sc__v2 dalam header respons. Klien secara otomatis menyertakan cookie ini dalam permintaan berikutnya. Anda dapat menggunakan alat pengembang browser untuk memeriksa apakah bidang acw_sc__v2 ada dalam header permintaan untuk memverifikasi bahwa validasi telah selesai. image

    • Rule Action diatur ke JavaScript Validation dan pengguna gagal verifikasi (seperti alat serangan otomatis):

      • Apakah permintaan pengguna mencapai server origin setelah aturan dicocokkan: Tidak.

      • Pengalaman pengguna setelah aturan dicocokkan: Klien yang gagal verifikasi memiliki permintaannya diblokir. Gambar berikut menunjukkan hasil saat mengakses dengan plugin browser yang menonaktifkan JavaScript—halaman gagal dimuat (menampilkan layar kosong) karena kegagalan validasi, dan header permintaan tidak berisi cookie acw_sc__v2. image

    • Rule Action diatur ke CAPTCHA/Strict CAPTCHA:

      • Apakah permintaan pengguna mencapai server origin setelah aturan dicocokkan:

        • Permintaan yang lolos verifikasi: Ya.

        • Permintaan yang gagal verifikasi: Tidak.

      • Pengalaman pengguna setelah aturan dicocokkan: Secara default, halaman berikut dikembalikan. Setelah verifikasi berhasil, pengguna secara otomatis dialihkan ke halaman asli. Jika verifikasi gagal, pesan kesalahan ditampilkan dan pengguna tetap berada di halaman saat ini. Pengguna harus menyegarkan halaman untuk mencoba verifikasi lagi.

        image

    Mengapa bidang pencocokan Body Parameter tidak berfungsi setelah saya mengonfigurasikannya dalam aturan kustom?

    Hal ini dapat terjadi jika konten pencocokan yang Anda masukkan terlalu pendek. Saat menggunakan bidang Body Parameter, pastikan konten pencocokan minimal terdiri dari 5 karakter. Jika tidak, trafik tidak dapat dideteksi.