Buat templat perlindungan web manajemen bot untuk mengamankan aplikasi web Anda—seperti situs web, halaman H5, dan halaman H5 yang disematkan dalam aplikasi seluler—dari ancaman seperti crawler berbahaya, serangan skrip otomatis, dan bot scalper.
Prosedur
Buka halaman Perlindungan Web. Di bilah menu atas, pilih kelompok sumber daya dan wilayah (Chinese Mainland atau Outside Chinese Mainland) dari instans Web Application Firewall (WAF) Anda. Klik Create Template.
Langkah 1: Tentukan skenario perlindungan
Masukkan Template Name dan Template Description.
Pilih Traffic Characteristics. Anda dapat memilih antara Global dan Customize Match Conditions.
Global: Berlaku untuk skenario yang hanya melibatkan lingkungan web atau H5.
Customize Match Conditions: Berlaku untuk skenario yang melibatkan lingkungan aplikasi atau program mini selain lingkungan web atau H5, atau skenario di mana Anda perlu melindungi titik akhir bisnis tertentu, seperti titik akhir login atau penjualan kilat.
Global
Jika Anda memilih Global, Anda tidak perlu menentukan kondisi pencocokan spesifik.
Customize Match Conditions
WAF mencocokkan permintaan berdasarkan kondisi yang Anda tentukan. Klik Add Condition untuk menambahkan kondisi. Setiap kondisi terdiri dari Match Field, Logical Operator, dan Match Content. Tabel berikut menyediakan contoh konfigurasi.
CatatanJika suatu aturan memiliki beberapa kondisi, permintaan harus memenuhi semuanya (logika AND) agar sesuai dengan aturan tersebut. Untuk informasi lebih lanjut tentang bidang pencocokan dan operator logika, lihat Kondisi pencocokan.
Match Field
Logical Operator
Match Content
Deskripsi
URI Path
Memuat
/login.phpCocok jika path permintaan memuat
/login.php.IP
Milik
192.1.XX.XXCocok jika IP klien adalah
192.1.XX.XX.
Pilih apakah akan Exclude Static Files. Permintaan untuk file statis biasanya tidak melibatkan logika bisnis, dan kontennya tidak rentan terhadap serangan injeksi. Mengecualikan file statis dapat mengurangi beban deteksi dan memungkinkan WAF fokus melindungi API dinamis. Kami merekomendasikan memilih jenis file statis default. Anda juga dapat menambahkan jenis kustom.
Klik Create Template.
Langkah 2: Edit aturan templat
Di halaman Edit, pada bagian CAPTCHA Verification, klik Edit untuk mengonfigurasi aturan CAPTCHA.
Pilih mode verifikasi. JavaScript Validation dan Token-based Authentication didukung.
JavaScript Validation: Cocok untuk skenario perlindungan harian intensitas rendah.
Token-based Authentication: Cocok untuk skenario pertahanan intensitas tinggi. Kami menyarankan mengaktifkan mode ini selama periode perlindungan kritis, seperti beberapa menit sebelum promosi penjualan besar.
JavaScript Validation
Saat aturan dipicu, WAF mengembalikan blok kode JavaScript. Klien browser standar mengeksekusi kode tersebut untuk mendapatkan token akses dan mengirim ulang permintaan. Trafik berbahaya diblokir karena tidak membawa token akses. Setelah diautentikasi, klien dapat membuat permintaan berikutnya selama periode tertentu (30 menit secara default) tanpa verifikasi lebih lanjut.
Token-based Authentication
Saat aturan dipicu, WAF mengembalikan blok kode JavaScript. Klien browser standar mengeksekusi kode tersebut untuk menandatangani permintaan dan mengirim ulang. WAF memblokir permintaan berbahaya yang tidak memiliki tanda tangan yang diperlukan. Opsi yang tersedia meliputi:
Signature Timestamp Exception: Memblokir permintaan jika cap waktu tanda tangan tidak normal.
WebDriver Attack: Memblokir permintaan jika terdeteksi serangan WebDriver.
Di bagian Canary Release, Anda dapat mengonfigurasi persentase trafik yang terpengaruh oleh aturan berdasarkan dimensi tertentu. Setelah mengaktifkan rilis canary, Anda harus menetapkan Dimension dan Canary Release Proportion. Opsi yang tersedia untuk Dimension adalah IP, Custom Header, Custom Parameter, Custom Cookie, Session, dan Web UMID.
CatatanRilis canary berlaku berdasarkan Dimension yang dikonfigurasi, bukan dengan menerapkan aturan secara acak pada persentase permintaan. Misalnya, jika Dimension adalah IP dan Canary Release Proportion adalah 10%, WAF memilih sekitar 10% alamat IP. WAF kemudian menerapkan aturan tersebut pada semua permintaan dari alamat IP yang dipilih ini, bukan pada 10% acak dari semua permintaan.
Di bagian Effective Mode, pilih kapan aturan mulai berlaku.
Permanently Effective (Default): Aturan selalu aktif saat templat perlindungan diaktifkan.
Fixed Schedule: Aturan perlindungan hanya aktif selama periode waktu tertentu.
Recurring Schedule: Aturan perlindungan hanya aktif selama jadwal berulang tertentu.
Di bagian Risk Identification, Anda dapat mengklik Create untuk membuat aturan pendeteksian penipuan. Fitur ini memblokir akses dari nomor telepon mencurigakan dengan memeriksanya terhadap basis data reputasi nomor telepon bawaan WAF. Fitur ini cocok untuk skenario seperti login dan pendaftaran berbasis nomor telepon. Untuk informasi lebih lanjut, lihat Pendeteksian Penipuan.
Di bagian Policy Configurations, aturan dikategorikan menjadi tiga jenis berdasarkan fitur bot umum yang diidentifikasi dari pengalaman luas Alibaba Cloud: Malicious Bot, Suspected Bot, dan Legitimate Bot. Anda dapat mengklik ikon
di kolom Status aturan untuk mengaktifkan atau menonaktifkannya, atau mengklik Edit untuk memodifikasinya.PentingRisiko positif palsu: Beberapa aturan berikut memiliki risiko positif palsu, dan konfigurasi yang tidak tepat dapat menyebabkan permintaan sah diblokir. Sebelum mengaktifkan aturan di lingkungan produksi, kami menyarankan Anda mengatur Actions menjadi Monitor, atau menggunakan Canary Release. Kami menyarankan Anda terlebih dahulu menguji dan menyesuaikan aturan di lingkungan non-produksi berdasarkan karakteristik bisnis Anda sebelum menerapkannya ke produksi.
Statistik untuk aturan berbasis CC: Semua aturan penghitungan CC (seperti Few Access Paths from IP Address) langsung memicu aksi begitu ambang batas tercapai dalam periode statistik yang dikonfigurasi. Sistem tidak menunggu hingga periode statistik berakhir. Setelah objek statistik ditambahkan ke daftar hitam, jika permintaan dari objek tersebut terus memicu aturan, sistem terus menghitung permintaan dan memperbarui periode waktu habis daftar hitam untuk objek tersebut.
Rekomendasi konfigurasi
Malicious Bot
Kategori aturan
Nama aturan
Risiko positif palsu
Probe browser
Alat pengembang, alat emulator
Rendah
Lingkungan browser tidak normal
Rendah
Alat otomatisasi, browser headless
Rendah
Lingkungan sistem tidak normal
Rendah. Dapat memengaruhi beberapa pengguna pada sistem operasi Windows XP.
Cap waktu tidak normal
Sedang. Dapat memblokir permintaan yang dikirim dari halaman web yang telah terbuka lebih dari 2 jam tanpa direfresh.
Versi Web SDK tidak normal
Rendah. Dapat memengaruhi pengguna dengan versi lama Web SDK yang diintegrasikan secara manual.
Pemalsuan perangkat
Pemalsuan informasi perangkat keras, pemalsuan atribut browser, pemalsuan sistem operasi dan lingkungan
Rendah
Pemalsuan informasi terkumpul, pemalsuan jaringan dan geolokasi
Rendah. Jika proxy Layer 7, seperti CDN atau Anti-DDoS, diterapkan di depan WAF dan pengaturan proxy tidak diaktifkan, identifikasi IP sumber yang tidak akurat dapat menyebabkan positif palsu.
Klien crawler
Trafik crawler AI, seperti Meta-ExternalAgent, perplexitbot, dan chatgpt
Rendah
Trafik alat Python
Rendah
Trafik alat crawler
Rendah
Suspected Bot
Kategori aturan
Nama aturan
Risiko positif palsu
Analisis perilaku
Semua aturan
Sedang. Dapat memblokir pengguna dengan sensitivitas mouse rendah.
Klien Skrip
Semua aturan
Rendah. Dampaknya tergantung pada bisnis Anda. Misalnya, aturan trafik alat Okhttp tidak dapat diaktifkan di lingkungan aplikasi native. Aturan trafik alat Dart tidak dapat diaktifkan jika layanan Anda dibangun dengan Flutter.
Pusat data IDC
Semua aturan
Sedang. Dapat memblokir lalu lintas sah dalam skenario seperti callback pembayaran, akses dari Alibaba Cloud Elastic Desktop Service, atau ketika proxy Layer 7 diterapkan di depan WAF tanpa pengaturan proxy diaktifkan.
Intelijen ancaman
Spider mesin pencari palsu
Rendah
Pustaka IP intelijen ancaman bot, pustaka sidik jari intelijen ancaman bot
Sedang. Dalam skenario dengan alamat IP egress publik bersama, seperti jaringan rumahan atau perusahaan, atau ketika proxy Layer 7 diterapkan di depan WAF tanpa pengaturan proxy diaktifkan, identifikasi IP sumber yang tidak akurat dapat menyebabkan positif palsu. Atur aksi menjadi Slider atau Validasi JavaScript.
Perlindungan cerdas
Urutan path tidak normal, perangkat tidak normal, perilaku kelompok berbahaya, distribusi sumber daya tidak normal, anomali deret waktu
Sedang. Dalam skenario dengan alamat IP egress publik bersama, seperti jaringan rumahan atau perusahaan, atau ketika proxy Layer 7 diterapkan di depan WAF tanpa pengaturan proxy diaktifkan, identifikasi IP sumber yang tidak akurat dapat menyebabkan positif palsu. Atur aksi menjadi Slider atau Validasi JavaScript.
Anomali sesi
Tinggi. Dalam skenario dengan alamat IP egress publik bersama, seperti jaringan rumahan atau perusahaan, atau ketika proxy Layer 7 diterapkan di depan WAF tanpa pengaturan proxy diaktifkan, identifikasi IP sumber yang tidak akurat dapat menyebabkan positif palsu. Atur aksi menjadi Slider atau Validasi JavaScript.
Analisis perilaku akses
Akses persisten tanpa informasi terkumpul, akses persisten tanpa sesi
Rendah. Integrasi Web SDK diperlukan. Jika tidak, tidak ada informasi yang dikumpulkan.
Pemutaran ulang massal trajektori interaksi
Rendah
Perubahan IP yang sering untuk sesi yang sama, perubahan IP yang sering untuk perangkat yang sama
Rendah
Jalur akses IP sedikit, jalur akses IP banyak, perubahan jenis klien yang sering, perubahan UA yang sering untuk IP yang sama
Sedang. Dalam skenario dengan alamat IP egress publik bersama, seperti jaringan rumahan atau perusahaan, atau ketika proxy Layer 7 diterapkan di depan WAF tanpa pengaturan proxy diaktifkan, identifikasi IP sumber yang tidak akurat dapat menyebabkan positif palsu. Atur aksi menjadi Slider atau Validasi JavaScript.
Legitimate Bot
Kategori aturan
Nama aturan
Risiko positif palsu
Klien normal
Semua aturan
Pertahankan konfigurasi default untuk mengizinkan permintaan ini.
Edit aksi aturan
Item konfigurasi
Deskripsi
JavaScript Validation
WAF mengembalikan blok kode validasi JavaScript ke klien. Browser standar secara otomatis mengeksekusi kode ini. Jika klien berhasil mengeksekusi, WAF mengizinkan semua permintaan dari klien tersebut selama periode waktu tertentu, 30 menit secara default. Jika tidak, permintaan diblokir.
Block
Memblokir permintaan yang cocok dengan aturan dan mengembalikan halaman blokir ke klien.
CatatanWAF menggunakan halaman blokir default. Anda juga dapat membuat halaman blokir kustom menggunakan fitur Tanggapan Kustom.
Monitor
Aksi ini tidak memblokir permintaan yang sesuai dengan aturan tetapi hanya mencatatnya. Saat menguji aturan, Anda dapat terlebih dahulu menggunakan mode Monitor untuk menganalisis log WAF dan memastikan tidak ada positif palsu. Kemudian, Anda dapat mengubah aturan menjadi aksi lain.
Slider CAPTCHA
WAF mengembalikan halaman verifikasi slider ke klien. Jika klien berhasil menyelesaikan tantangan slider, WAF mengizinkan semua permintaan dari klien tersebut selama periode waktu tertentu, 30 menit secara default. Jika tidak, permintaan diblokir.
Strict Slider CAPTCHA Verification
WAF mengembalikan halaman verifikasi slider ke klien. Jika klien berhasil menyelesaikan tantangan slider, permintaan saat ini diizinkan. Jika tidak, permintaan diblokir. Dalam mode ini, klien harus menyelesaikan tantangan slider untuk setiap permintaan yang sesuai dengan aturan.
Add Tag
Anda dapat menentukan nama header kustom dan kontennya, termasuk jenis aturan, ID aturan, dan Web UMID. WAF tidak memproses permintaan secara langsung tetapi menambahkan header untuk meneruskan informasi hit ke server asal. Anda dapat mengintegrasikannya dengan sistem kendali risiko backend Anda untuk pemrosesan sisi bisnis.
CatatanSaat JavaScript Validation atau Slider CAPTCHA diaktifkan, WAF menetapkan cookie bernama
acw_sc__v2(untuk Validasi JavaScript) atauacw_sc__v3(untuk CAPTCHA Slider) di header Set-Cookie respons. Klien menyertakan identifier ini di header Cookie permintaan berikutnya.Edit Rilis Canary dan Mode Efektif.
Klik Next.
Langkah 3: Pilih cakupan efektif
Di halaman Configure Effective Scope, pilih objek yang dilindungi atau kelompok objek yang dilindungi, klik ikon 
untuk menambahkannya ke area Selected, lalu klik OK.
Langkah 4: Integrasikan Web SDK
Kemampuan mitigasi bot bergantung pada informasi yang dikumpulkan oleh kit pengembangan perangkat lunak (SDK). Jika Anda melewatkan langkah ini, aplikasi Anda tidak akan sepenuhnya terlindungi. Kami sangat menyarankan Anda mengintegrasikan SDK.
Jika objek yang dilindungi melibatkan domain lintas asal, aktifkan integrasi otomatis untuk nama domain yang sesuai di halaman Integrasi Web SDK, atau integrasikan SDK secara manual.
Alibaba Cloud menyediakan SDK berbasis JavaScript untuk meningkatkan perlindungan bagi browser web dan menyelesaikan potensi masalah kompatibilitas. Tersedia dua metode integrasi: otomatis dan manual.
Integrasi otomatis: Aktifkan integrasi dengan satu klik. Anda tidak perlu memodifikasi kode bisnis Anda.
Integrasi manual: Injeksi otomatis Web SDK tidak didukung untuk objek yang dilindungi yang ditambahkan ke WAF menggunakan Application Load Balancer (ALB), Microservices Engine (MSE), API Gateway (APIG), Function Compute (FC), atau Serverless App Engine (SAE). Anda harus mengintegrasikan Web SDK secara manual.
Integrasi otomatis
Di pojok kanan atas halaman Web Protection, klik Web SDK Integration. Lalu, aktifkan injeksi Web SDK otomatis untuk objek yang dilindungi.
Setelah Anda membuat templat perlindungan web dan mengaktifkan integrasi Web SDK otomatis, cookie
ssxmod_itna,ssxmod_itna2, danssxmod_itna3dimasukkan ke header HTTP untuk mengumpulkan informasi sidik jari browser klien. Informasi ini mencakup bidang host header HTTP, tinggi dan lebar browser, serta detail lainnya.Setelah Anda mengaktifkan integrasi otomatis, sistem secara otomatis menginjeksikan SDK ke halaman HTML objek yang dilindungi yang sesuai. SDK digunakan untuk mengumpulkan informasi lingkungan browser, data probe untuk alat ilegal, dan log perilaku operasi. SDK tidak mengumpulkan informasi pribadi sensitif.
Integrasi manual
Di pojok kanan atas halaman Web Protection, klik Web SDK Integration, lalu klik Obtain SDK. Tempatkan tag <script> yang diperoleh sebelum semua tag <script> lain di halaman Anda untuk memastikannya dimuat terlebih dahulu.
O&M Rutin
Edit templat
Klik Edit di kolom Actions untuk templat target. Ubah templat di panel Edit.
Hapus templat
Klik Delete di kolom Actions untuk templat target. Di kotak dialog Delete, konfirmasi informasi dan klik Confirm.
Salin templat
Klik Copy di kolom Actions untuk templat target. Di kotak dialog Copy, konfirmasi informasi dan klik Confirm.
Aktifkan atau nonaktifkan templat
Klik sakelar
di kolom Status untuk templat target guna mengaktifkan atau menonaktifkannya.Lihat aturan
Klik ikon
untuk templat target guna melihat aturannya. Klik sakelar 
di kolom Status untuk aturan target guna mengaktifkan atau menonaktifkannya.
Mulai beroperasi
Untuk menghindari gangguan layanan, jangan membuat dan mengaktifkan templat baru secara langsung di lingkungan produksi. Ikuti proses penerapan berikut.
Konfigurasi daftar putih: Sebelum membuat templat, kami menyarankan Anda membuat aturan daftar putih untuk menambahkan alamat IP tepercaya ke daftar putih. Ini mencegah permintaan tepercaya diblokir secara salah oleh aturan baru.
Lakukan pengujian canary: Setelah templat dibuat, Anda dapat menggunakan salah satu dari tiga metode berikut untuk mengamati dan mengujinya sebelum menerapkannya ke lingkungan produksi.
Terapkan aturan ke lingkungan non-produksi untuk pengujian.
Atur Actions menjadi Monitor.
Aktifkan Rilis Canary.
Analisis hasil pengujian: Setelah templat berjalan selama periode tertentu, periksa laporan keamanan dan log untuk memeriksa positif palsu di antara permintaan yang memicu aturan.
Terapkan ke lingkungan produksi: Setelah Anda memastikan bahwa tingkat positif palsu berada dalam kisaran yang dapat diterima, ubah aksi aturan sesuai kebutuhan dan terapkan templat ke lingkungan produksi Anda.
Pantau dan optimalkan secara berkelanjutan: Pantau terus laporan keamanan dan log. Sesuaikan dan optimalkan aturan secara dinamis berdasarkan perubahan bisnis dan efektivitas aktualnya.
Kuota dan batasan
Aturan Browser Probe, Device Forgery, Operation Behavior Analysis, AI Protection, dan Access Behavior Analysis di bagian Konfigurasi Kebijakan memerlukan integrasi Web SDK agar berfungsi dengan benar.
Aturan Crawler, Script Client, AI Protection, dan Access Behavior Analysis di bagian Konfigurasi Kebijakan tidak mendukung objek yang dilindungi yang ditambahkan ke WAF menggunakan ALB, MSE, API Gateway, FC, atau SAE.
Integrasi otomatis Web SDK tidak didukung untuk objek yang dilindungi yang ditambahkan ke WAF menggunakan ALB, MSE, API Gateway, FC, atau SAE. Anda harus mengintegrasikan Web SDK secara manual.