全部产品
Search

搜索本产品

    Web Application Firewall:Manajemen bot (versi lama)

    文档中心

    Web Application Firewall:Manajemen bot (versi lama)

    更新时间:Nov 11, 2025

    Jika bisnis Anda terdampak oleh alat otomatis, seperti skrip dan emulator, yang menyebabkan masalah seperti pengambilan data, penipuan bisnis, serangan kamus, pendaftaran spam, penjualan kilat berbahaya, penyalahgunaan promosi, atau penyalahgunaan API pesan teks, Anda dapat mengaktifkan fitur Manajemen bot dari Web Application Firewall (WAF). Fitur ini memungkinkan Anda membuat kebijakan mitigasi bot yang ditargetkan berdasarkan data analisis lalu lintas mesin, sehingga membantu mengurangi risiko kebocoran aset data inti dan penyalahgunaan promosi serta menurunkan biaya bandwidth dan beban server. Topik ini menjelaskan cara mengaktifkan dan mengonfigurasi kebijakan manajemen bot.

    Versi baru manajemen bot sedang diterapkan secara bertahap. Topik ini menjelaskan versi lama. Untuk informasi lebih lanjut tentang versi baru, lihat Manajemen bot (versi baru). Anda dapat mengidentifikasi versi yang digunakan berdasarkan gaya menu Protection Configuration > Bot Management di panel navigasi sebelah kiri konsol WAF:

    • Manajemen bot versi lama: image

    • Manajemen bot versi baru: image

    Fitur

    Manajemen bot menyediakan fitur-fitur berikut untuk membantu Anda mendeteksi lalu lintas mesin dengan cepat, melindungi dari ancaman bot, dan mencegah pencurian data bisnis.

    • Analisis lalu lintas bot (Tidak memerlukan Manajemen Bot)

      Tanpa mengaktifkan manajemen bot, Anda dapat melihat data risiko operasi API melalui fitur analisis lalu lintas mesin. Data tersebut mencakup tren lalu lintas mesin dalam rentang waktu tertentu, 20 klien teratas dan 20 alamat IP teratas yang menimbulkan risiko, serta data analisis lalu lintas mesin untuk objek yang dilindungi. Hal ini membantu Anda mengidentifikasi dan menemukan operasi API berisiko secara cepat. Untuk informasi lebih lanjut, lihat Lihat data analisis lalu lintas mesin.

      Untuk operasi API berisiko, Anda dapat meminta uji coba gratis atau membeli paket manajemen bot guna mengonfigurasi kebijakan mitigasi berbasis skenario. Untuk informasi lebih lanjut tentang cara meminta uji coba gratis atau membeli paket, lihat Aktifkan manajemen bot.

    • Scenario-specific Protection (Tersedia setelah Anda mengaktifkan manajemen bot)

      Fitur ini memberikan kontrol detail halus untuk skenario bisnis tertentu. Anda dapat mengintegrasikan kit pengembangan perangkat lunak (SDK) dan mengonfigurasi kebijakan mitigasi berbasis skenario untuk halaman web dan aplikasi guna mencapai perlindungan optimal. Untuk informasi lebih lanjut, lihat Buat aturan mitigasi berbasis skenario untuk perayap web dan Buat aturan mitigasi berbasis skenario untuk perayap aplikasi.

      Audience: Pengguna yang sensitif terhadap lalu lintas mesin.

    • Basic Protection (Tersedia setelah Anda mengaktifkan manajemen bot)

      Fitur ini mendeteksi lalu lintas bot berdasarkan sidik jari lalu lintas Lapisan 4 atau Lapisan 7 tanpa perlu mengintegrasikan SDK. Anda cukup mengaktifkan perlindungan dengan satu klik. Untuk informasi lebih lanjut, lihat Buat aturan mitigasi dasar.

      Audience: Pengguna yang ingin mengonfigurasi kebijakan mitigasi sederhana untuk memblokir bot tingkat rendah dan menengah.

    Prasyarat

    Lihat data analisis lalu lintas mesin

    1. Masuk ke Konsol Web Application Firewall 3.0. Dari bilah menu atas, pilih kelompok sumber daya dan wilayah (Chinese Mainland atau Outside Chinese Mainland) untuk instans WAF.

    2. Di panel navigasi sebelah kiri, pilih Protection Configuration > Bot Management.

    3. Di tab Machine Traffic Analysis, lihat Machine Traffic Trend, Top 20 Clients, Top 20 IPs, dan Machine Traffic Analysis For Protected Objects untuk objek yang dilindungi tertentu dalam rentang waktu tertentu.image.png

    Aktifkan manajemen bot

    1. Masuk ke Konsol Web Application Firewall 3.0. Dari bilah menu atas, pilih kelompok sumber daya dan wilayah (Chinese Mainland atau Outside Chinese Mainland) untuk instans WAF.

    2. Di panel navigasi sebelah kiri, pilih Protection Configuration > Bot Management.

    3. Aktifkan manajemen bot.

      • Minta uji coba gratis

        Catatan

        • Anda dapat meminta uji coba gratis manajemen bot satu kali untuk setiap instans WAF edisi Pro, Business, atau Ultimate.

        • Uji coba gratis berlaku selama 7 hari setelah permintaan Anda disetujui. Setelah masa uji coba berakhir, data analisis yang dihasilkan selama uji coba akan segera dihapus jika Anda tidak membeli paket manajemen bot. Untuk menyimpan data dan terus menggunakan fitur manajemen bot, beli paket sebelum masa uji coba berakhir.

        Di tab Machine Traffic Analysis, klik Free Trial. Di halaman WAF-Bot Management PoC Questionnaire, masukkan informasi yang diperlukan dan klik Submit.

        Insinyur Alibaba Cloud akan menghubungi Anda dalam waktu satu minggu setelah Anda mengirimkan permintaan untuk mengonfirmasi detail uji coba. Setelah permintaan Anda disetujui, fitur manajemen bot akan diaktifkan secara otomatis untuk instans WAF Anda.

      • Beli paket manajemen bot

        1. Di tab Machine Traffic Analysis, atau di tab Scenario-specific Protection atau Basic Protection, klik Purchase.

        2. Di panel Purchase, aktifkan Bot Management - Web Protection atau Bot Management - App Protection, lalu selesaikan pembayaran.

          Catatan

          • Setelah Anda mengaktifkan Bot Management - Web Protection, Anda dapat mengonfigurasi aturan perlindungan dasar dan aturan berbasis skenario untuk perayap web.

          • Setelah Anda mengaktifkan Bot Management - App Protection, Anda dapat mengonfigurasi aturan perlindungan dasar dan aturan berbasis skenario untuk perayap aplikasi.

          • Untuk mengonfigurasi aturan perlindungan dasar, aturan berbasis skenario untuk perayap web, dan aturan berbasis skenario untuk perayap aplikasi, Anda dapat mengaktifkan kedua fitur Bot Management - Web Protection dan Bot Management - App Protection.

    Setelah mengaktifkan manajemen bot, Anda dapat mengklik tab Machine Traffic Analysis. Di bagian Machine Traffic Analysis For Protected Objects, temukan operasi API berisiko akibat lalu lintas mesin tinggi dan klik Add Mitigation di kolom Actions untuk menambahkan kebijakan mitigasi berbasis skenario. Untuk informasi lebih lanjut, lihat Buat aturan mitigasi berbasis skenario untuk perayap web dan Buat aturan mitigasi berbasis skenario untuk perayap aplikasi.

    Jika Anda ingin mengonfigurasi kebijakan mitigasi sederhana untuk memblokir bot tingkat rendah dan menengah, Anda dapat mengonfigurasi aturan manajemen bot dasar di tab Basic Protection. Untuk informasi lebih lanjut, lihat Buat aturan mitigasi dasar.

    Buat aturan mitigasi berbasis skenario untuk perayap web

    Jika bisnis Anda melibatkan akses ke halaman web atau halaman H5 (termasuk halaman H5 dalam aplikasi) melalui browser, Anda dapat membuat templat mitigasi berbasis skenario untuk perayap web dan menyesuaikan aturan mitigasi guna melindungi dari bot web.

    Catatan

    • Jika Anda mengaktifkan aksi JavaScript Challenge atau Slider CAPTCHA, WAF akan memulai tantangan JavaScript atau verifikasi slider untuk klien ketika permintaan mengenai aturan. Setelah klien lulus verifikasi, WAF menyisipkan cookie acw_sc__v2 atau acw_sc__v3 ke dalam header pesan HTTP untuk menunjukkan bahwa klien telah diverifikasi.

    • Jika Anda mengonfigurasi templat bot berbasis skenario dan mengaktifkan integrasi otomatis Web SDK, WAF menyisipkan cookie ssxmod_itna, ssxmod_itna2, dan ssxmod_itna3 ke dalam header pesan HTTP untuk mendapatkan sidik jari browser. Informasi sidik jari yang dikumpulkan mencakup bidang host pesan HTTP, serta tinggi dan lebar browser.

    1. Masuk ke Konsol Web Application Firewall 3.0. Dari bilah menu atas, pilih kelompok sumber daya dan wilayah (Chinese Mainland atau Outside Chinese Mainland) untuk instans WAF.

    2. Di panel navigasi sebelah kiri, pilih Protection Configuration > Bot Management.

    3. Di tab Scenario-specific Protection, klik Create Template.

    4. Di halaman Configure Scenarios wizard, lengkapi konfigurasi berikut dan klik Next.

      Item Konfigurasi

      Deskripsi

      Template Name

      Tetapkan nama untuk templat.

      Nama harus terdiri dari 1 hingga 255 karakter dan dapat berisi karakter Tionghoa, huruf besar dan kecil, angka, titik (.), garis bawah (_), dan tanda hubung (-).

      Template Description

      Masukkan deskripsi untuk templat.

      Service Type

      Pilih Websites. Ini melindungi halaman web atau halaman H5 (termasuk halaman H5 dalam aplikasi) yang diakses melalui browser.

      Web SDK Integration

      Automatic Integration (Direkomendasikan)

      Menggunakan Web SDK berbasis JavaScript untuk meningkatkan perlindungan pada skenario browser web dan mencegah beberapa masalah kompatibilitas.

      Setelah Anda mengaktifkan fitur ini, WAF secara otomatis mereferensikan SDK di halaman HTML objek yang dilindungi. WAF mengumpulkan informasi browser, data probe pendeteksian serangan tertentu, dan data perilaku pengguna (tidak melibatkan informasi pribadi sensitif). Kemudian, WAF meminta pendeteksian dan pemblokiran ancaman berdasarkan informasi yang dikumpulkan.

      Jika Anda menginisiasi permintaan akses ke objek yang dilindungi saat ini dari nama domain lain, Anda harus memilih nama domain sumber akses lintas domain dari daftar drop-down Use Intermediate Domain Name. Misalnya, jika Anda memanggil API login nama domain A dari halaman di bawah nama domain B, Anda harus memilih nama domain B dari daftar drop-down Use Intermediate Domain Name.

      Penting

      Integrasi otomatis Web SDK tidak didukung untuk objek yang dilindungi yang ditambahkan ke WAF menggunakan Application Load Balancer (ALB), MSE, atau FC. Anda harus mengintegrasikan SDK secara manual.

      Manual Integration

      Jika integrasi otomatis tidak sesuai dengan lingkungan Anda, Anda dapat mengintegrasikan SDK secara manual. Klik Obtain SDK untuk mendapatkan node skrip. Tempatkan node skrip sebelum semua node skrip lain di halaman untuk memastikan bahwa node tersebut dimuat terlebih dahulu. Untuk informasi lebih lanjut, lihat Metode penyebaran.

      Untuk informasi lebih lanjut, lihat Integrasikan SDK ke dalam aplikasi web.

      Traffic Characteristics

      Tambahkan bidang permintaan HTTP dan aturannya untuk lalu lintas tujuan. Ini mengacu pada konten bidang terkait skenario bisnis yang dihasilkan dalam pesan permintaan HTTP saat objek yang dilindungi diakses. Anda dapat menambahkan hingga lima kondisi. Operator logika antar kondisi adalah AND. Untuk informasi lebih lanjut tentang bidang-bidang tersebut, lihat Kondisi pencocokan.

    5. Di halaman Configure Protection Rules wizard, lengkapi konfigurasi berikut dan klik Next.

      Item Konfigurasi

      Deskripsi

      Fraud Detection

      Setelah Anda memilih Business Security Policy, masukkan informasi yang diperlukan. Untuk informasi lebih lanjut, lihat Pendeteksian Penipuan.

      Setelah Anda mengaktifkan aturan ini, WAF terintegrasi dengan layanan Pendeteksian Penipuan. Hal ini memungkinkan Anda memblokir akses dari nomor telepon abnormal, seperti yang digunakan oleh calo. Ini adalah layanan bayar sesuai penggunaan yang ditagih berdasarkan jumlah kali aturan dipicu.

      Legitimate Bot Management

      Setelah Anda memilih Spider Whitelist, pilih daftar putih mesin pencari sah.

      Setelah Anda mengaktifkan aturan ini, alamat IP bot sah dari mesin pencari terkait diizinkan lewat tanpa diperiksa oleh modul manajemen bot.

      Bot Characteristic Detection

      Simple Script Filtering (JavaScript Challenge)

      Setelah Anda mengaktifkan fitur ini, WAF melakukan tantangan JavaScript pada klien yang mengakses objek yang dilindungi. Hal ini menyaring lalu lintas dari alat non-browser yang tidak mendukung tantangan JavaScript dan memblokir serangan berbasis skrip sederhana.

      Advanced Bot Protection (Dynamic Token-based Authentication)

      Setelah Anda mengaktifkan fitur ini, WAF memverifikasi tanda tangan setiap permintaan dan memblokir permintaan yang gagal verifikasi. Opsi:

      • Signature Verification Exception (Wajib): Permintaan diblokir jika tidak memiliki tanda tangan atau memiliki tanda tangan tidak valid.

      • Signature Timestamp Exception: Permintaan diblokir jika cap waktu tanda tangan abnormal.

      • WebDriver Attack: Permintaan diblokir jika diidentifikasi sebagai serangan WebDriver.

      Bot Behavior Detection

      Intelligent Protection

      Setelah Anda memilih Intelligent Protection, Anda harus mengatur aksi untuk perilaku bot yang terdeteksi menjadi Monitor, Slider CAPTCHA, atau Mark For Origin Fetch. Jika Anda memilih Mark For Origin Fetch, Anda juga harus mengatur Header Name dan Header Content untuk tanda tersebut.

      Setelah Anda mengaktifkan fitur ini, aturan mitigasi bot menggunakan mesin perlindungan cerdas untuk menganalisis dan secara otomatis belajar dari lalu lintas akses, menghasilkan aturan mitigasi atau daftar hitam yang ditargetkan.

      Custom Throttling

      Setelah Anda mengaktifkan fitur ini, Anda dapat menyesuaikan batas frekuensi akses untuk menyaring permintaan bot dengan frekuensi terlalu tinggi. Hal ini secara efektif mengurangi serangan flood HTTP.

      • IP Address Throttling (Default)

        Jika jumlah permintaan akses dari alamat IP yang sama melebihi Threshold (Times) yang ditentukan dalam Statistical Interval (Seconds), WAF menerapkan Action yang ditentukan terhadap permintaan berikutnya dari alamat IP tersebut selama durasi Throttling Interval (Seconds). Aksi yang tersedia adalah Monitor, Slider CAPTCHA, dan Block. Anda dapat mengatur hingga tiga kondisi. Operator logika antar kondisi adalah OR.

      • Custom Session Throttling

        Jika jumlah permintaan akses untuk Session Type tertentu melebihi Threshold (Times) yang ditentukan dalam Statistical Interval (Seconds), WAF menerapkan Action yang ditentukan terhadap permintaan berikutnya dalam sesi tersebut selama durasi Throttling Interval (Seconds). Aksi yang tersedia adalah Monitor, Slider CAPTCHA, dan Block. Anda dapat mengatur hingga tiga kondisi. Operator logika antar kondisi adalah OR.

        Session Type mendukung Custom Header, Custom Parameter, Custom Cookie, dan Session.

      Bot Threat Intelligence

      Bot Threat Intelligence Library

      Berisi alamat IP sumber yang telah meluncurkan banyak serangan bot berbahaya terhadap banyak pengguna di Alibaba Cloud dalam periode waktu tertentu. WAF menerapkan aksi Monitor, Slider CAPTCHA, atau Mark For Origin Fetch terhadap alamat IP tersebut. Jika Anda memilih Mark For Origin Fetch, Anda juga harus mengatur Header Name dan Header Content untuk tanda tersebut.

      Data Center Blacklist

      Setelah Anda mengaktifkan fitur ini, jika alamat IP sumber serangan termasuk dalam pustaka alamat IP yang dipilih, WAF menerapkan aksi Monitor, Slider CAPTCHA, Block, atau Mark For Origin Fetch. Jika Anda memilih Mark For Origin Fetch, Anda juga harus mengatur Header Name dan Header Content untuk tanda tersebut.

      Catatan

      Jika Anda menggunakan alamat IP sumber dari cloud publik atau pusat data untuk mengakses layanan Anda, tambahkan panggilan sah yang diketahui ke daftar putih, seperti callback pembayaran dari Alipay atau WeChat, dan program pemantauan.

      Forged Bots

      Setelah Anda mengaktifkan fitur ini, WAF akan Block atau Mark For Origin Fetch User-Agent semua mesin pencari dalam Manajemen Bot Sah. Alamat IP klien sah yang sesuai dengan mesin pencari dalam daftar putih akan diizinkan.

    6. Di halaman Configure Effective Scope wizard, lengkapi konfigurasi berikut dan klik Next.

      Item Konfigurasi

      Deskripsi

      Apply To

      Pilih objek yang dilindungi atau kelompok objek yang dilindungi yang ingin Anda terapkan aturan. Klik ikon 移入 untuk memindahkan objek atau kelompok yang dipilih ke area Selected.

      Effective Period And Grayscale Release

      Atur rilis grayscale dan periode efektif untuk aturan mitigasi yang dipilih. Jika Anda tidak mengonfigurasi pengaturan ini, Grayscale Release dinonaktifkan untuk aturan tersebut dan aturan tersebut Permanently Effective secara default.

      1. Temukan aturan tujuan dan klik Edit di kolom Actions.

      2. Konfigurasi rilis grayscale dan periode efektif.

        • Grayscale Release: Konfigurasi persentase objek yang dikenai aturan berdasarkan dimensi berbeda.

          Setelah Anda mengaktifkan rilis grayscale, Anda harus mengatur Dimension dan Grayscale Ratio. Dimension yang tersedia adalah IP, Custom Header, Custom Parameter, Custom Cookie, dan Session.

          Catatan

          Aturan grayscale diterapkan berdasarkan Dimension yang Anda atur, bukan secara acak ke persentase permintaan. Misalnya, jika Anda memilih dimensi IP untuk rilis grayscale, semua permintaan dari alamat IP yang memicu aturan akan dicocokkan.

        • Effective Mode

          • Permanently Effective (Default): Aturan selalu berlaku saat templat mitigasi diaktifkan.

          • Effective Within A Time Period: Anda dapat menetapkan periode waktu tertentu dalam zona waktu yang ditentukan agar aturan tersebut berlaku.

          • Effective On A Recurring Basis: Anda dapat menetapkan periode waktu tertentu setiap hari dalam zona waktu yang ditentukan agar aturan tersebut berlaku.

      Anda juga dapat memilih beberapa aturan dan memodifikasi mode rilis grayscale dan periode efektifnya secara batch.

    7. Di halaman Verify Protection Effect wizard, uji aturan mitigasi bot.

      Kami menyarankan Anda memverifikasi aksi mitigasi sebelum menerbitkan kebijakan guna mencegah pemblokiran salah akibat kesalahan konfigurasi aturan atau masalah kompatibilitas. Jika Anda yakin aturan telah dikonfigurasi dengan benar, Anda dapat mengklik Skip di pojok kiri bawah.

      Ikuti langkah-langkah berikut untuk melakukan verifikasi:

      1. Step 1: Enter a public IP address.

        Masukkan alamat IP publik perangkat uji Anda (PC atau ponsel). Pengujian aturan mitigasi bot hanya berlaku untuk alamat IP publik ini dan tidak memengaruhi layanan Anda.

        Penting

        Jangan masukkan alamat IP yang diperoleh menggunakan perintah ipconfig (yang merupakan alamat IP internal). Jika Anda tidak yakin dengan alamat IP publik perangkat Anda, Anda dapat menggunakan alat kueri IP online untuk menemukannya.

      2. Step 2: Select an action.

        Buat aturan uji yang hanya berlaku untuk alamat IP uji Anda. Aturan ini menggunakan aksi mitigasi yang dikonfigurasi di halaman Configure Protection Rules. Anda dapat memilih JavaScript Validation, Dynamic Token-based Authentication, Slider CAPTCHA Verification, atau Block Verification untuk memverifikasi hasil eksekusi aksi mitigasi.

        Klik Test di modul aksi uji. WAF segera menerapkan kebijakan mitigasi ke perangkat uji dan menampilkan demonstrasi serta deskripsi hasil uji. Kami menyarankan Anda meninjau dengan cermat.

        Setelah pengujian selesai, klik I Have Completed the Test untuk melanjutkan ke langkah berikutnya. Jika hasil uji abnormal, klik Go Back. Rujuk FAQ untuk pengujian kebijakan mitigasi bot untuk mengoptimalkan aturan dan menguji kembali.

    Templat aturan baru diaktifkan secara default. Di tab Scenario-specific Protection, Anda dapat melakukan operasi berikut di area kartu templat aturan:

    • Klik kartu templat aturan untuk melihat informasi dalam aturan.

    • Copy, Edit, atau Delete templat aturan.

    • Gunakan sakelar pada templat untuk mengaktifkan atau menonaktifkannya.

    • Lihat aksi aturan dan jumlah Protected Object/Group yang terkait.

    Buat aturan mitigasi berbasis skenario untuk perayap aplikasi

    Jika bisnis Anda berbasis aplikasi asli iOS atau Android (tidak termasuk halaman H5 yang digunakan dalam aplikasi), Anda dapat membuat templat mitigasi berbasis skenario untuk perayap aplikasi dan menyesuaikan aturan mitigasi guna melindungi dari bot aplikasi.

    Catatan

    Jika Anda mengaktifkan aksi JavaScript Challenge atau Slider CAPTCHA, WAF akan memulai tantangan JavaScript atau verifikasi slider untuk klien ketika permintaan mengenai aturan. Setelah klien lulus verifikasi, WAF menyisipkan cookie acw_sc__v2 atau acw_sc__v3 ke dalam header pesan HTTP untuk menunjukkan bahwa klien telah diverifikasi.

    1. Masuk ke Konsol Web Application Firewall 3.0. Dari bilah menu atas, pilih kelompok sumber daya dan wilayah (Chinese Mainland atau Outside Chinese Mainland) untuk instans WAF.

    2. Di panel navigasi sebelah kiri, pilih Protection Configuration > Bot Management.

    3. Di tab Scenario-specific Protection, klik Create Template.

    4. Di halaman Configure Scenarios wizard, lengkapi konfigurasi berikut dan klik Next.

      Item Konfigurasi

      Deskripsi

      Template Name

      Tetapkan nama untuk templat.

      Nama harus terdiri dari 1 hingga 255 karakter dan dapat berisi karakter Tionghoa, huruf besar dan kecil, angka, titik (.), garis bawah (_), dan tanda hubung (-).

      Template Description

      Masukkan deskripsi untuk templat.

      Service Type

      Pilih App. Ini melindungi aplikasi asli iOS atau Android (tidak termasuk halaman H5 dalam aplikasi).

      App SDK Integration

      WAF menyediakan SDK untuk aplikasi asli (Android/iOS) untuk meningkatkan perlindungan dalam skenario ini. Setelah SDK diintegrasikan, SDK tersebut mengumpulkan fitur risiko klien dan melampirkan tanda tangan keamanan ke permintaan. WAF menggunakan fitur tanda tangan tersebut untuk mendeteksi dan memblokir permintaan berisiko.

      Anda dapat mengintegrasikan App SDK dengan cara berikut:

      1. Kirimkan tiket untuk menghubungi kami dan mendapatkan SDK untuk aplikasi iOS Anda.

      2. Klik Obtain and Copy AppKey untuk digunakan dalam memulai permintaan inisialisasi SDK.

      3. Integrasikan App SDK. Untuk informasi lebih lanjut, lihat Integrasikan SDK ke dalam aplikasi iOS.

      Traffic Characteristics

      Tambahkan bidang permintaan HTTP dan aturannya untuk lalu lintas tujuan. Ini mengacu pada konten bidang terkait skenario bisnis yang dihasilkan dalam pesan permintaan HTTP saat objek yang dilindungi diakses. Anda dapat menambahkan hingga lima kondisi. Operator logika antar kondisi adalah AND. Untuk informasi lebih lanjut tentang bidang-bidang tersebut, lihat Kondisi pencocokan.

    5. Di halaman Configure Protection Rules wizard, lengkapi konfigurasi berikut dan klik Next.

      Item Konfigurasi

      Deskripsi

      Fraud Detection

      Setelah Anda memilih Business Security Policy, masukkan informasi yang diperlukan. Untuk informasi lebih lanjut, lihat Pendeteksian Penipuan.

      Setelah Anda mengaktifkan aturan ini, WAF terintegrasi dengan layanan Pendeteksian Penipuan. Hal ini memungkinkan Anda memblokir akses dari nomor telepon abnormal, seperti yang digunakan oleh calo. Ini adalah layanan bayar sesuai penggunaan yang ditagih berdasarkan jumlah kali aturan dipicu.

      Bot Characteristic Detection

      • Aturan pendeteksian

        Invalid App Signature (Dipilih secara default)

        Dipilih secara default dan tidak dapat dinonaktifkan. WAF mendeteksi permintaan yang tidak memiliki tanda tangan atau memiliki tanda tangan tidak valid setelah aplikasi diintegrasikan dengan SDK.

        Custom Signature Field (Tidak dipilih secara default)

        Setelah Anda mengaktifkan sakelar ini, Anda harus mengatur Field Name dan menentukan bidang tanda tangan kustom di Cookie, Parameter, atau Header. Jika objek tanda tangan memiliki isi yang terlalu panjang, kosong, atau dikodekan secara khusus, WAF dapat memproses konten tanda tangan menggunakan metode seperti penghashan dan menempatkannya di bidang tanda tangan kustom untuk verifikasi.

        Abnormal Device Behavior

        Setelah Anda mengaktifkan fitur ini, WAF mendeteksi dan mengelola permintaan dari perangkat dengan fitur abnormal, termasuk: Expired Signature, Using Simulator, Using Proxy, Rooted Device, Debugging Mode, Hooking, Multiboxing, Simulated Execution, dan Script Tools.

      • Aksi mitigasi

        Anda dapat mengatur aksi untuk aturan Bot Characteristic Detection yang dikonfigurasi menjadi Monitor, Block, atau Strict Slider CAPTCHA Verification.

      • Mitigasi lanjutan

        Klik Advanced Protection dan konfigurasi pengaturan berikut:

        Secondary Packaging Detection

        • Pengaturan aturan

          Setelah Anda mengaktifkan fitur ini, permintaan dari aplikasi yang tidak termasuk dalam daftar putih nama paket dan tanda tangan paket sah dianggap sebagai permintaan pengemasan ulang. Anda dapat mengatur informasi versi sah:

          • Valid Package Name: Tentukan nama paket aplikasi sah. Contoh: example.aliyundoc.com.

          • Signature: Tentukan tanda tangan paket aplikasi yang sesuai untuk verifikasi. Jika verifikasi diperlukan, kirimkan tiket untuk menghubungi kami. Jika Anda tidak perlu memverifikasi tanda tangan paket aplikasi, biarkan kolom tanda tangan paket kosong. WAF hanya akan memverifikasi nama paket aplikasi sah yang ditentukan.

            • Penting

            Signature bukan tanda tangan sertifikat aplikasi.

          Anda dapat menambahkan hingga lima versi sah. Nama paket tidak boleh diulang. Operator logika antar kondisi adalah OR.

        • Aksi mitigasi

          Anda dapat mengatur aksi untuk aturan Pendeteksian Pengemasan Ulang yang dikonfigurasi menjadi Monitor, Block, Slider CAPTCHA, atau Strict Slider CAPTCHA Verification.

        Custom Rule

        Jika fitur perangkat default tidak memberikan perlindungan yang cukup, Anda dapat mengklik Create Rule di bawah Custom Rule dan lengkapi konfigurasi berikut:

        • Match Condition: Anda dapat menambahkan hingga lima kondisi pencocokan. Jika Anda mengonfigurasi beberapa kondisi pencocokan, aturan hanya berlaku jika semua kondisi terpenuhi.

          Klik untuk melihat bidang pencocokan yang didukung

          eeid_is_root: Menunjukkan apakah perangkat memiliki izin root.

          eeid_is_proxy: Menunjukkan apakah proxy digunakan.

          eeid_is_simulator: Menunjukkan apakah emulator digunakan.

          eeid_is_debugged: Menunjukkan apakah aplikasi sedang di-debug.

          eeid_is_hook: Menunjukkan apakah aplikasi di-hook.

          eeid_is_virtual: Menunjukkan apakah kloning aplikasi digunakan.

          eeid_is_new: Menunjukkan apakah perangkat baru.

          eeid_is_wiped: Menunjukkan apakah perangkat dicurigai telah di-flash.

          eeid_short_uptime: Menunjukkan apakah uptime perangkat terlalu singkat.

          eeid_abnormal_time: Menunjukkan apakah waktu lokal perangkat abnormal.

          eeid_running_frame_xposed: Menunjukkan apakah Xposed Framework digunakan.

          eeid_running_frame_frida: Menunjukkan apakah Frida digunakan.

          eeid_running_frame_cydia: Menunjukkan apakah Cydia digunakan.

          eeid_running_frame_fishhook: Menunjukkan apakah fishhook digunakan.

          eeid_running_frame_va: Menunjukkan apakah framework VirtualApp digunakan.

          eeid_running_frame_magisk: Menunjukkan apakah Magisk digunakan.

          eeid_running_frame_edxposed: Menunjukkan apakah framework EdXposed digunakan.

          eeid_umid: Menunjukkan nilai UMID perangkat.

          appname: Menunjukkan nama aplikasi.

          packagename: Menunjukkan nama paket.

          appversion: Menunjukkan nomor versi aplikasi.

          version: Menunjukkan nomor versi WAF SDK.

          brand: Menunjukkan merek ponsel.

          model: Menunjukkan model ponsel.

          product: Menunjukkan kode produk.

          manufacture: Menunjukkan produsen ponsel.

          hardware: Menunjukkan nama perangkat keras.

        • Action: Aksi yang didukung adalah Monitor, Block, Slider CAPTCHA, Strict Slider CAPTCHA Verification, dan Mark For Origin Fetch. Jika Anda memilih Mark For Origin Fetch, Anda juga harus mengatur Header Name dan Header Content untuk tanda tersebut.

        Anda dapat menambahkan hingga 10 kondisi. Operator logika antar kondisi adalah OR.

      Bot Behavior Detection

      Setelah Anda memilih Intelligent Protection, Anda harus mengatur aksi aturan untuk perilaku bot yang terdeteksi menjadi Monitor, Slider CAPTCHA, Strict Slider CAPTCHA Verification, atau Mark For Origin Fetch. Jika Anda memilih Mark For Origin Fetch, Anda juga harus mengatur Header Name dan Header Content untuk tanda tersebut.

      Setelah Anda mengaktifkan fitur ini, aturan mitigasi bot menggunakan mesin perlindungan cerdas untuk menganalisis dan secara otomatis belajar dari lalu lintas akses, menghasilkan aturan mitigasi atau daftar hitam yang ditargetkan.

      Throttling

      Setelah Anda mengaktifkan fitur ini, Anda dapat menyesuaikan batas frekuensi akses untuk menyaring permintaan bot dengan frekuensi terlalu tinggi. Hal ini secara efektif mengurangi serangan flood HTTP.

      • IP Address Throttling (Default)

        Jika jumlah permintaan akses dari alamat IP yang sama melebihi Threshold (Times) yang ditentukan dalam Statistical Interval (Seconds), WAF menerapkan Action yang ditentukan terhadap permintaan berikutnya dari alamat IP tersebut selama durasi Throttling Interval (Seconds). Aksi yang tersedia adalah Block, Monitor, Slider CAPTCHA, dan Strict Slider CAPTCHA Verification. Anda dapat mengatur hingga tiga kondisi. Operator logika antar kondisi adalah OR.

      • Device Throttling

        Jika jumlah permintaan akses dari perangkat yang sama melebihi Threshold (Times) yang ditentukan dalam Statistical Interval (Seconds), WAF menerapkan Action yang ditentukan terhadap permintaan berikutnya dari perangkat tersebut selama durasi Throttling Interval (Seconds). Aksi yang tersedia adalah Block, Monitor, Slider CAPTCHA, dan Strict Slider CAPTCHA Verification. Anda dapat mengatur hingga tiga kondisi. Operator logika antar kondisi adalah OR.

      • Custom Session Throttling

        Jika jumlah permintaan akses untuk Session Type tertentu melebihi Threshold (Times) yang ditentukan dalam Statistical Interval (Seconds), WAF menerapkan Action yang ditentukan terhadap permintaan berikutnya dalam sesi tersebut selama durasi Throttling Interval (Seconds). Aksi yang tersedia adalah Block, Monitor, Slider CAPTCHA, dan Strict Slider CAPTCHA Verification. Anda dapat mengatur hingga tiga kondisi. Operator logika antar kondisi adalah OR.

        Session Type mendukung Custom Header, Custom Parameter, Custom Cookie, dan Session.

      Bot Threat Intelligence

      Bot Threat Intelligence Library

      Berisi alamat IP sumber yang telah meluncurkan banyak serangan bot berbahaya terhadap banyak pengguna di Alibaba Cloud dalam periode waktu tertentu. WAF menerapkan aksi Monitor, Slider CAPTCHA, Strict Slider CAPTCHA Verification, atau Mark For Origin Fetch terhadap alamat IP tersebut. Jika Anda memilih Mark For Origin Fetch, Anda juga harus mengatur Header Name dan Header Content untuk tanda tersebut.

      Data Center Blacklist

      Setelah Anda mengaktifkan fitur ini, jika alamat IP sumber serangan termasuk dalam pustaka alamat IP yang dipilih, WAF menerapkan aksi Monitor, Slider CAPTCHA, Block, Strict Slider CAPTCHA Verification, atau Mark For Origin Fetch. Jika Anda memilih Mark For Origin Fetch, Anda juga harus mengatur Header Name dan Header Content untuk tanda tersebut.

      Catatan

      Jika Anda menggunakan alamat IP sumber dari cloud publik atau pusat data untuk mengakses layanan Anda, tambahkan panggilan sah yang diketahui ke daftar putih, seperti callback pembayaran dari Alipay atau WeChat, dan program pemantauan.

    6. Di halaman Configure Effective Scope wizard, lengkapi konfigurasi berikut dan klik Next.

      Item Konfigurasi

      Deskripsi

      Apply To

      Pilih objek yang dilindungi atau kelompok objek yang dilindungi yang ingin Anda terapkan aturan. Klik ikon 移入 untuk memindahkan objek atau kelompok yang dipilih ke area Selected.

      Effective Period And Grayscale Release

      Atur rilis grayscale dan periode efektif untuk aturan mitigasi yang dipilih. Jika Anda tidak mengonfigurasi pengaturan ini, Grayscale Release dinonaktifkan untuk aturan tersebut dan aturan tersebut Permanently Effective secara default.

      1. Temukan aturan tujuan dan klik Edit di kolom Actions.

      2. Konfigurasi rilis grayscale dan periode efektif.

        • Grayscale Release: Konfigurasi persentase objek yang dikenai aturan berdasarkan dimensi berbeda.

          Setelah Anda mengaktifkan rilis grayscale, Anda harus mengatur Dimension dan Grayscale Ratio. Dimension yang tersedia adalah IP, Custom Header, Custom Parameter, Custom Cookie, dan Session.

          Catatan

          Aturan grayscale diterapkan berdasarkan Dimension yang Anda atur, bukan secara acak ke persentase permintaan. Misalnya, jika Anda memilih dimensi IP untuk rilis grayscale, semua permintaan dari alamat IP yang memicu aturan akan dicocokkan.

        • Effective Mode

          • Permanently Effective (Default): Aturan selalu berlaku saat templat mitigasi diaktifkan.

          • Effective Within A Time Period: Anda dapat mengatur periode waktu tertentu dalam zona waktu tertentu agar aturan berlaku.

          • Effective On A Recurring Basis: Anda dapat mengatur periode waktu tertentu setiap hari dalam zona waktu tertentu agar aturan berlaku.

      Anda juga dapat memilih beberapa aturan dan memodifikasi mode rilis grayscale dan periode efektifnya secara batch.

    7. Di halaman Verify Protection Effect wizard, uji aturan mitigasi bot.

      Kami menyarankan Anda memverifikasi aksi mitigasi sebelum menerbitkan kebijakan guna mencegah pemblokiran salah akibat kesalahan konfigurasi aturan atau masalah kompatibilitas. Jika Anda yakin aturan telah dikonfigurasi dengan benar, Anda dapat mengklik Skip di pojok kiri bawah.

      Ikuti langkah-langkah berikut untuk melakukan verifikasi:

      1. Step 1: Enter a public IP address.

        Masukkan alamat IP publik perangkat uji Anda (PC atau ponsel). Pengujian aturan mitigasi bot hanya berlaku untuk alamat IP publik ini dan tidak memengaruhi layanan Anda.

        Penting

        Jangan masukkan alamat IP yang diperoleh menggunakan perintah ipconfig (yang merupakan alamat IP internal). Jika Anda tidak yakin dengan alamat IP publik perangkat Anda, Anda dapat menggunakan alat kueri IP online untuk menemukannya.

      2. Step 2: Select an action.

        Buat aturan uji yang hanya berlaku untuk alamat IP uji Anda. Aturan ini menggunakan aksi mitigasi yang dikonfigurasi di halaman Configure Protection Rules. Anda dapat memilih Block Verification atau SDK Signature Verification untuk memverifikasi hasil eksekusi aksi mitigasi.

        Klik Test di modul aksi uji. WAF segera menerapkan kebijakan mitigasi ke perangkat uji dan menampilkan demonstrasi serta deskripsi hasil uji. Kami menyarankan Anda meninjau dengan cermat.

        Setelah pengujian selesai, klik I Have Completed the Test untuk melanjutkan ke langkah berikutnya. Jika hasil uji abnormal, klik Go Back. Rujuk FAQ untuk pengujian kebijakan mitigasi bot untuk mengoptimalkan aturan dan menguji kembali.

    Templat aturan baru diaktifkan secara default. Di tab Scenario-specific Protection, Anda dapat melakukan operasi berikut di area kartu templat aturan:

    • Klik kartu templat aturan untuk melihat informasi dalam aturan.

    • Copy, Edit, atau Delete templat aturan.

    • Gunakan sakelar pada templat untuk mengaktifkan atau menonaktifkannya.

    • Lihat aksi aturan dan jumlah Protected Object/Group yang terkait.

    Buat aturan mitigasi dasar

    Jika bisnis Anda menjadi sasaran bot tingkat rendah atau menengah, Anda dapat mengonfigurasi aturan mitigasi dasar yang lebih sederhana. Perlindungan dasar tidak menyediakan templat aturan default. Untuk mengaktifkan fitur ini, Anda harus membuat templat aturan baru.

    1. Masuk ke Konsol Web Application Firewall 3.0. Dari bilah menu atas, pilih kelompok sumber daya dan wilayah (Chinese Mainland atau Outside Chinese Mainland) untuk instans WAF.

    2. Di panel navigasi sebelah kiri, pilih Protection Configuration > Bot Management.

    3. Di tab Basic Protection, klik Create Template.

    4. Di panel Create Template - Bot Management, lengkapi konfigurasi berikut dan klik OK.

      Item Konfigurasi

      Deskripsi

      Template Name

      Tetapkan nama untuk templat.

      Nama harus terdiri dari 1 hingga 255 karakter dan dapat berisi karakter Tionghoa, huruf besar dan kecil, angka, titik (.), garis bawah (_), dan tanda hubung (-).

      Template Description

      Masukkan deskripsi untuk templat.

      Action

      Atur aksi untuk aturan mitigasi menjadi Block atau Monitor.

      Advanced Settings

      • Grayscale Release: Konfigurasi persentase objek yang dikenai aturan berdasarkan dimensi berbeda.

        Setelah Anda mengaktifkan rilis grayscale, Anda harus mengatur Dimension dan Grayscale Ratio. Dimension yang tersedia adalah IP, Custom Header, Custom Parameter, Custom Cookie, dan Session.

        Catatan

        Aturan grayscale diterapkan berdasarkan Dimension yang Anda atur, bukan secara acak ke persentase permintaan. Misalnya, jika Anda memilih dimensi IP untuk rilis grayscale, semua permintaan dari alamat IP yang memicu aturan akan dicocokkan.

      • Effective Mode

        • Permanently Effective (Default): Aturan selalu berlaku saat templat mitigasi diaktifkan.

        • Effective Within A Time Period: Anda dapat mengatur periode waktu tertentu dalam zona waktu tertentu agar aturan berlaku.

        • Effective On A Recurring Basis: Anda dapat mengatur periode waktu tertentu setiap hari dalam zona waktu tertentu agar aturan berlaku.

      Apply To

      Dari objek yang dilindungi dan kelompok objek yang telah ditambahkan, pilih yang ingin Anda terapkan templat.

    Templat aturan baru diaktifkan secara default. Di tab Basic Protection, Anda dapat melakukan operasi berikut di area kartu templat aturan:

    • Lihat ID aturan yang termasuk dalam templat.

      Catatan

      Templat mitigasi dasar berisi tiga ID aturan: dua untuk aturan daftar putih dan satu untuk aturan yang terdiri dari daftar kontrol akses (ACL) dan aturan perlindungan serangan flood HTTP. Anda dapat menggunakan ID aturan ini untuk melihat efek mitigasi dalam laporan keamanan. Untuk informasi lebih lanjut, lihat Laporan keamanan.

    • Copy, Edit, atau Delete templat aturan.

    • Gunakan sakelar pada templat untuk mengaktifkan atau menonaktifkannya.

    • Lihat aksi aturan dan jumlah Protected Object/Group yang terkait.

    FAQ untuk pengujian kebijakan mitigasi bot

    Jika terjadi pengecualian selama langkah Verify Protection Effect, rujuk tabel berikut untuk menyelesaikan masalah.

    Kesalahan

    Penyebab

    Solusi

    Tidak ditemukan permintaan uji yang valid. Anda dapat melihat dokumentasi atau menghubungi kami untuk menganalisis kemungkinan penyebabnya.

    Permintaan uji tidak dikirim dengan sukses, atau tidak dikirim ke WAF.

    Konfirmasi bahwa permintaan uji dikirim ke alamat yang digunakan WAF.

    Konten bidang permintaan uji tidak konsisten dengan Traffic Characteristics yang ditentukan dalam aturan mitigasi bot.

    Ubah fitur objek yang dilindungi dalam kebijakan mitigasi bot.

    Alamat IP sumber permintaan uji tidak konsisten dengan alamat IP uji publik yang dimasukkan dalam konfigurasi kebijakan.

    Pastikan Anda menggunakan alamat IP publik yang benar. Kami menyarankan Anda menggunakan alat diagnostik untuk menanyakan alamat IP publik Anda.

    Permintaan gagal verifikasi. Anda dapat melihat dokumentasi atau menghubungi kami untuk menganalisis kemungkinan penyebabnya.

    Akses tidak berasal dari pengguna nyata. Misalnya, akses berasal dari mode debug atau alat otomatis.

    Gunakan klien untuk mensimulasikan akses dari pengguna nyata selama pengujian.

    Skenario mitigasi dipilih secara salah. Misalnya, Anda memilih Websites saat Anda perlu mengonfigurasi aturan berbasis skenario untuk perayap aplikasi.

    Ubah jenis skenario mitigasi dalam aturan mitigasi bot berbasis skenario.

    Permintaan akses melibatkan akses lintas domain, tetapi tidak dikonfigurasi dengan benar dalam aturan mitigasi bot berbasis skenario.

    Ubah aturan mitigasi bot berbasis skenario. Pilih Use Intermediate Domain Name dan pilih nama domain sumber akses lintas domain dari daftar drop-down.

    Masalah kompatibilitas frontend.

    Kirimkan tiket untuk menghubungi kami.

    Permintaan tidak memicu verifikasi. Anda dapat melihat dokumentasi atau menghubungi kami untuk menganalisis kemungkinan penyebabnya.

    Aturan uji belum sepenuhnya diterapkan.

    Kami menyarankan Anda menjalankan pengujian lagi dan menunggu aturan uji mitigasi bot diterapkan.

    Tidak diblokir dan tidak ditemukan permintaan uji yang valid. Anda dapat melihat dokumentasi atau menghubungi kami untuk menganalisis kemungkinan penyebabnya.

    Permintaan uji tidak dikirim dengan sukses, atau tidak dikirim ke WAF.

    Konfirmasi bahwa permintaan uji dikirim ke alamat yang digunakan WAF.

    Konten bidang permintaan uji tidak konsisten dengan Fitur Objek yang Dilindungi yang ditentukan dalam aturan mitigasi bot.

    Ubah fitur objek yang dilindungi dalam kebijakan mitigasi bot.

    Alamat IP sumber permintaan uji tidak konsisten dengan alamat IP uji publik yang dimasukkan dalam konfigurasi kebijakan.

    Pastikan Anda menggunakan alamat IP publik yang benar. Kami menyarankan Anda menggunakan alat diagnostik untuk menanyakan alamat IP publik Anda.

    Langkah selanjutnya

    Anda dapat melihat catatan eksekusi aturan mitigasi di halaman Laporan Keamanan. Untuk informasi lebih lanjut, lihat Laporan keamanan.