全部产品
Search

搜索本产品

    Web Application Firewall:Konfigurasikan aturan intelijen ancaman untuk secara proaktif melindungi dari IP jahat

    文档中心

    Web Application Firewall:Konfigurasikan aturan intelijen ancaman untuk secara proaktif melindungi dari IP jahat

    更新时间:Jan 23, 2026

    Memelihara daftar hitam IP secara manual tidak efisien bagi layanan yang menghadapi ancaman global, seperti pemindaian otomatis, eksploitasi kerentanan, dan proxy anonim. Selain itu, sulit mengikuti sumber serangan yang dinamis. Fitur threat intelligence dari Web Application Firewall (WAF) memanfaatkan data ancaman global multidimensi dari Alibaba Cloud untuk secara otomatis mengidentifikasi dan memblokir IP jahat. Hal ini membantu Anda membangun sistem pertahanan proaktif, secara signifikan mengurangi beban operasional, serta meningkatkan keamanan layanan.

    Applicability

    • Persyaratan versi: Diperlukan instans WAF berlangganan edisi Enterprise atau Ultimate, atau instans WAF pay-as-you-go.

    • Prasyarat konfigurasi: Harus terdapat objek yang dilindungi, artinya Anda telah menambahkan layanan web Anda ke WAF. Jika belum menambahkan layanan Anda, lihat Add a domain name to WAF.

    • Batasan mode akses: Function Compute (FC) tidak didukung. Instans MSE harus ditingkatkan ke versi 2.0.18 atau lebih baru. Instans APIG harus ditingkatkan ke versi 2.1.13 atau lebih baru.

    Konsep utama

    • Threat intelligence: Modul perlindungan di WAF yang secara otomatis mengidentifikasi dan memblokir alamat IP sumber serangan web dari seluruh dunia. Anda tidak perlu mengonfigurasi aturan kompleks secara manual. Untuk menggunakan modul ini, Anda harus membuat template perlindungan intelijen ancaman. Anda dapat membuat beberapa templat.

    • Protection template: Templat adalah kumpulan aturan yang mendefinisikan konten aturan dan ruang lingkup penerapannya. Templat terdiri dari tiga bagian: jenis templat, aturan perlindungan, dan objek yang berlaku.

      • Jenis templat: Anda harus menentukan jenis templat saat membuatnya. Jenis tersebut tidak dapat diubah setelah dibuat. Terdapat dua jenis templat:

        Template type

        Description

        Scenarios

        Default template

        • Saat dibuat, templat ini berlaku untuk semua objek yang dilindungi dan kelompok objek secara default. Objek baru juga secara otomatis disertakan.

        • Anda dapat mengecualikan objek tertentu secara manual dengan mengatur statusnya menjadi "Not applied".

        • Anda hanya dapat membuat satu templat default untuk modul intelijen ancaman.

        Terapkan aturan umum yang perlu diterapkan secara global.

        Custom template

        Anda harus secara manual menentukan objek yang dilindungi atau kelompok objek yang akan menerapkan templat ini.

        Terapkan aturan detail halus untuk layanan tertentu.

      • Protection rules: Mendefinisikan logika deteksi dan aksi respons. Setiap aturan terdiri dari dua bagian:

        • Rule type: Mendefinisikan jenis ancaman yang akan dideteksi. Jenis yang didukung adalah Website Scanning, Exploitation, dan Tor IP.

        • Rule action: Mendefinisikan aksi yang diambil ketika suatu aturan terpicu. Aksi tersebut, dari prioritas tertinggi hingga terendah, adalah: Block, Strict Slider, Slider, JS Challenge, dan Monitor.

      • Applicable objects: Menentukan target penerapan templat. Dengan mengatur objek yang berlaku, Anda dapat menerapkan aturan perlindungan ke objek atau kelompok objek tertentu yang dilindungi.

        • Protected object: WAF secara otomatis membuat objek yang dilindungi untuk setiap nama domain atau instans produk cloud yang Anda tambahkan.

        • Protected object group: Anda dapat menambahkan beberapa objek yang dilindungi ke dalam satu kelompok untuk manajemen terpusat.

    Prosedur

    Masuk ke WAF 3.0 console. Pada bilah menu atas, pilih kelompok sumber daya dan wilayah (Chinese Mainland atau Outside Chinese Mainland) untuk instans WAF Anda. Pada panel navigasi kiri, pilih Protection Config > Core Web Protection > Threat Intelligence.

    Langkah 1: Konfigurasikan jenis templat intelijen ancaman

    Pada halaman Core Web Protection, di bagian Threat Intelligence, klik Create Template. Di panel Create Template - Threat Intelligence, lengkapi pengaturan berikut.

    • Template Name: Tetapkan nama untuk templat.

    • Save as Default Template: Anda hanya dapat menetapkan satu templat default untuk modul intelijen ancaman. Anda hanya dapat menetapkan templat sebagai default saat membuatnya.

      • Yes: Jika Anda memilih Yes, Anda tidak perlu mengatur Apply To. Setelah templat dibuat, templat tersebut berlaku untuk semua objek yang dilindungi dan kelompok objek secara default. Objek baru juga secara otomatis disertakan. Anda dapat mengecualikan objek tertentu secara manual dengan mengatur statusnya menjadi Not Applied.

      • No: Jika Anda memilih No, Anda harus mengatur Apply To untuk menentukan objek yang dilindungi atau kelompok objek yang akan menerapkan templat ini.

    Langkah 2: Konfigurasikan aturan perlindungan

    Di bagian Rule Configuration, lengkapi pengaturan berikut.

    • Rule type: Pilih jenis aturan berdasarkan kebutuhan bisnis Anda untuk melindungi dari jenis serangan tertentu.

      Rule type

      Description

      Website Scanning

      Alamat IP ini menggunakan alat otomatis untuk memindai website guna mengidentifikasi arsitektur teknis, port terbuka, potensi kerentanan keamanan, atau informasi lainnya.

      Exploitation

      Alamat IP ini mengeksploitasi kerentanan keamanan pada aplikasi web untuk melakukan operasi jahat, mendapatkan akses tidak sah, dan berpotensi menyebabkan kerusakan.

      Tor IP

      Alamat IP ini merupakan node keluar (exit nodes) dari jaringan Tor. Alamat ini merepresentasikan lalu lintas pengguna yang mengakses Internet secara anonim melalui jaringan Tor. Komunikasi dari pengguna tersebut diidentifikasi melalui alamat IP keluar ini.

    • Rule Action: Pilih aksi perlindungan yang akan diambil ketika permintaan memicu suatu aturan.

      Parameter

      Description

      JavaScript Validation

      WAF mengembalikan cuplikan JavaScript ke client. Browser standar akan secara otomatis mengeksekusi kode ini. Jika client berhasil mengeksekusinya, WAF mengizinkan semua permintaan dari client tersebut selama periode waktu tertentu (default 30 menit); jika tidak, permintaan tersebut diblokir.

      Block

      Memblokir permintaan yang sesuai dengan aturan dan mengembalikan halaman blokir ke client.

      Catatan

      Secara default, WAF menggunakan halaman blokir standar. Anda juga dapat menyesuaikan halaman blokir tersebut dengan menggunakan custom response.

      Monitor

      Mengizinkan permintaan yang sesuai dengan aturan untuk lewat, tetapi mencatat event pencocokan tersebut. Saat menguji suatu aturan, pertama-tama atur aksinya ke Monitor dan analisis log WAF untuk memastikan tidak ada lalu lintas sah yang diblokir sebelum mengubah aksi tersebut.

      Slider

      WAF mengembalikan halaman CAPTCHA slider ke client. Jika client berhasil menyelesaikan tantangan tersebut, WAF mengizinkan semua permintaan dari client tersebut selama periode waktu tertentu (default 30 menit); jika tidak, permintaan tersebut diblokir.

      Strict Slider

      WAF mengembalikan halaman CAPTCHA slider ke client. Jika client berhasil menyelesaikan tantangan tersebut, permintaan diizinkan; jika tidak, permintaan diblokir. Dalam mode ini, client harus menyelesaikan tantangan slider untuk setiap permintaan yang sesuai dengan aturan.

      Catatan

      • Verifikasi Slider hanya tersedia untuk instans berlangganan edisi Enterprise dan Ultimate, serta instans pay-as-you-go.

      • JavaScript Validation dan Slider hanya berlaku untuk permintaan sinkron. Untuk memastikan fitur berfungsi dengan benar pada permintaan asinkron, seperti yang menggunakan XMLHttpRequest atau Fetch API, suntikkan web SDK. Untuk detail lebih lanjut, lihat bagian JS Challenge dan Slider CAPTCHA di Bot Management.

      • Ketika JavaScript Validation atau Slider diaktifkan, WAF menyetel cookie di header respons melalui Set-Cookie setelah klien lolos validasi. Cookie tersebut bernama acw_sc__v2 untuk JavaScript Validation atau acw_sc__v3 untuk Slider CAPTCHA. Klien akan menyertakan identifier ini di header Cookie pada permintaan berikutnya.

    • Advanced Settings (Opsional):

      Configuration item

      Description

      Staged Rollout

      Konfigurasikan persentase objek yang akan menerapkan aturan, berdasarkan dimensi yang berbeda.

      Setelah Anda mengaktifkan rilis grayscale, Anda juga harus mengatur Dimension dan Canary Release Proportion. Dimension dapat berupa IP, Custom Header, Custom Parameter, Custom Cookie, atau Session.

      Catatan

      Rilis grayscale berlaku berdasarkan Dimension yang dikonfigurasi, bukan secara acak pada persentase permintaan. Misalnya, jika Dimension adalah IP dan Canary Release Proportion adalah 10%, WAF memilih sekitar 10% alamat IP. Semua permintaan dari alamat IP yang dipilih akan dikenai aturan tersebut. Aturan tidak diterapkan secara acak pada 10% dari seluruh permintaan.

      Effective Mode

      • Permanently Effective (Default): Aturan selalu berlaku selama templat perlindungan diaktifkan.

      • Fixed Schedule: Aturan perlindungan hanya berlaku selama periode waktu tertentu.

      • Recurring Schedule: Aturan perlindungan hanya berlaku selama periode berulang tertentu.

    Langkah 3: Tetapkan objek yang berlaku untuk templat intelijen ancaman

    Di bagian Apply To, pilih objek yang dilindungi dan kelompok objek yang akan menerapkan templat ini.

    Cara penerapan templat bergantung pada konfigurasi di Langkah 1:

    • Jika templat ditetapkan sebagai default: Anda tidak perlu menentukan objek yang berlaku. Templat berlaku untuk semua objek yang dilindungi dan kelompok objek secara default setelah dibuat. Objek baru juga secara otomatis disertakan. Anda dapat mengecualikan objek tertentu secara manual dengan mengatur statusnya menjadi Not Applied.

    • Jika templat tidak ditetapkan sebagai default: Anda harus menentukan objek yang dilindungi dan kelompok objek yang akan menerapkan templat ini.

    Catatan

    Anda dapat menyesuaikan status penerapan objek yang dilindungi atau kelompok objek baik selama maupun setelah pembuatan templat.

    Routine maintenance

    • Manage protection templates: Templat perlindungan baru diaktifkan secara default. Anda dapat melakukan operasi berikut di daftar templat perlindungan:

      • Lihat jumlah Protected Object/Group yang terkait dengan templat.

      • Gunakan Status untuk mengaktifkan atau menonaktifkan templat.

      • Edit, Delete, atau Copy templat perlindungan.

      • Klik ikon 展开图标 di samping nama templat untuk melihat aturan dalam templat tersebut.

    • Manage protection rules: Aturan baru diaktifkan secara default. Anda dapat melakukan operasi berikut di daftar aturan:

      • Lihat informasi seperti Rule ID dan Action.

      • Gunakan sakelar Status untuk mengaktifkan atau menonaktifkan aturan.

    FAQ

    Apa perbedaan antara fitur threat intelligence dan fitur IP blacklist?

    • IP blacklist: Anda harus menambahkan alamat IP secara manual untuk pemblokiran statis. Satu-satunya aksi yang didukung adalah Block dan Monitor.

    • Threat intelligence: Fitur threat intelligence secara otomatis mengidentifikasi IP jahat berdasarkan data keamanan global Alibaba Cloud dan mendukung berbagai aksi aturan. Pustaka alamat IP ancaman diperbarui secara otomatis untuk memberikan perlindungan proaktif dan dinamis.

    Apa itu jaringan Tor?

    Jaringan Tor, singkatan dari The Onion Router, adalah jaringan open-source yang dirancang untuk melindungi privasi dan anonimitas pengguna. Jaringan ini meningkatkan anonimitas online dengan mengenkripsi dan meneruskan lalu lintas berkali-kali melalui server yang dijalankan oleh sukarelawan di seluruh dunia. Proses ini menyembunyikan alamat IP asli pengguna dan aktivitas online-nya.

    Dalam konteks keamanan, lalu lintas dari node keluar Tor dapat digunakan untuk melewati kontrol akses atau meluncurkan serangan anonim. Oleh karena itu, WAF menyediakan kemampuan untuk mengidentifikasi dan mengelola lalu lintas Tor guna membantu Anda mengurangi potensi risiko keamanan.