全部產品
Search
文件中心

Web Application Firewall:Bot管理

更新時間:Jun 13, 2026

當業務面臨自動化工具(如指令碼、模擬器)引發的威脅時,包括資料爬取、業務欺詐、撞庫攻擊、垃圾註冊、惡意搶購及簡訊介面濫用等,建議啟用Bot管理功能。通過配置針對性的防護策略,該功能可有效緩解核心資料資產泄露及營銷活動風險,同時降低伺服器負載與頻寬成本。

重要

新版Bot管理已逐步上線,新使用者預設啟用。本文僅適用於新版Bot管理。

  • 版本識別方法:登入WAF控制台,在左側導覽列選擇防護配置 > BOT管理,根據頁面樣式判斷目前的版本。

  • 舊版入口:當前僅少量使用者使用舊版功能,若確認為舊版介面(Bot管理旁無New標識),請前往Bot管理(舊版)文檔。

  • 舊版Bot管理:image

  • 新版Bot管理:image

功能介紹

Bot管理提供以下核心功能,協助識別機器流量、防禦爬蟲風險:

  • 流量分析:無需開通Bot管理即可查看流量分析的風險介面資料,包括流量走勢、存在風險的用戶端等資訊,用於快速識別和定位可能存在風險的介面。開通正式版後,可以查看更詳細的資料資訊,協助安全營運人員識別異常流量,從而配置更精細化的防護策略。

  • Web防护/App防护:面向Web或App業務情境,可使用Bot管理預設防護策略快速啟用基礎防護。為實現最佳防護效果,需要持續分析規則命中情況,並相應調整防護動作。

  • 高级自定义规则:支援自訂存取控制規則、頻率控制規則和規則分類,攔截符合規則條件請求。進階自訂規則增加了更豐富的匹配條件,如Client ID、JA3/JA4指紋、Web/App SDK採集資訊等,並支援基於條件的去重統計能力。

適用範圍

  • 已在接入管理頁面完成Web業務接入

  • 已開通WAF 3.0執行個體,且執行個體版本為隨用隨付版,訂用帳戶進階版、企業版或旗艦版,基礎版執行個體不支援Bot管理。

開通Bot管理

  1. 登入Web Application Firewall3.0控制台。在頂部功能表列,選擇WAF執行個體的資源群組和地區(中國內地非中國內地

  2. 在左側導覽列,選擇防護配置 > BOT管理

申請試用

進階版、企業版、旗艦版WAF執行個體支援7天免費試用Bot管理功能。試用結束後,系統將清空策略配置,如需保留試用期間的資料,請在試用結束前開通正式版。

  1. 前往Web防护App防护高级自定义规则頁面,單擊申請7天免費POC

  2. 7天免費試用POC對話方塊中,單擊確定

重要
  • 進階版、企業版、旗艦版執行個體可試用Bot管理功能,每個阿里雲帳號僅提供一次試用機會。

  • 試用期限為7天,試用結束後將自動清空Bot策略配置。如需保留試用期間的資料並繼續使用Bot管理,請在試用結束前開通正式版。

開通正式版

訂用帳戶版

  1. Web防护App防护高级自定义规则頁面中,單擊立即購買

  2. 立即購買面板,開啟Bot 管理 - Web 防护Bot 管理 - APP 防护,並完成支付。

隨用隨付版

  1. 前往Web防护App防护高级自定义规则頁面。

  2. 在彈出的對話方塊中,勾選需要防護的對象,然後單擊立即启用

    說明

    單擊立即启用後,系統將為已勾選的防護對象建立防護模板,併產生額外費用。具體單價請參見隨用隨付計費說明。若無需使用Bot管理功能,請刪除所有Bot管理防護模板。

開始使用

  1. 流量分析:通過審查流量分析資料,識別業務環境中的風險資產及異常流量來源。

  2. Web防護/App防護:依據業務類型配置防護規則並啟用防護:網頁及H5頁面請啟用Web防護;iOS或Android原生應用請啟用App防護。

  3. 進階自訂規則:針對精細化防護需求,支援基於Client ID、JA3/JA4指紋等維度配置規則,以實現對Bot流量的精準識別與處置。

防護時序原理圖

以下時序圖展示了JS驗證令牌挑戰防護模式的工作原理和請求處理流程。

JS驗證時序圖

  1. 用戶端發起請求,命中JS校正對應的規則。

  2. WAF返回攜帶JS挑戰產生演算法的HTML頁面。

  3. 瀏覽器載入JS挑戰頁面,產生加密參數後,將其添加到Cookie中,並重新發送請求。

  4. WAF收到響應並驗證參數是否正確:

    • 如果參數正確,則表明請求由正常使用者發起,該請求將被正常轉寄至來源站點伺服器,返回來源站點響應。

    • 如果用戶端未攜帶JS挑戰插入的Cookie或Cookie值不正確,則表明請求可能由指令碼工具發起,WAF將再次返回JS挑戰頁面。

令牌挑戰時序圖

  1. 用戶端發起請求,命中了動態令牌處置對應的規則。

  2. WAF返回攜帶動態令牌的HTML頁面到用戶端。

  3. 瀏覽器載入動態令牌的HTML頁面,產生加密參數後,將其添加到請求URL的參數中並重新發送請求。

  4. WAF收到響應並驗證參數是否正確:

    • 如果參數正確,則表明請求是由正常使用者發起,該請求將被正常轉寄至來源站點伺服器,返回真實響應。

    • 如果用戶端未攜帶參數或參數不正確,則表明請求可能是指令碼工具發起,WAF將再次返回動態令牌頁面。