當業務面臨自動化工具(如指令碼、模擬器)引發的威脅時,包括資料爬取、業務欺詐、撞庫攻擊、垃圾註冊、惡意搶購及簡訊介面濫用等,建議啟用Bot管理功能。通過配置針對性的防護策略,該功能可有效緩解核心資料資產泄露及營銷活動風險,同時降低伺服器負載與頻寬成本。
新版Bot管理已逐步上線,新使用者預設啟用。本文僅適用於新版Bot管理。
版本識別方法:登入WAF控制台,在左側導覽列選擇,根據頁面樣式判斷目前的版本。
舊版入口:當前僅少量使用者使用舊版功能,若確認為舊版介面(Bot管理旁無New標識),請前往Bot管理(舊版)文檔。
舊版Bot管理:
新版Bot管理:

功能介紹
Bot管理提供以下核心功能,協助識別機器流量、防禦爬蟲風險:
流量分析:無需開通Bot管理即可查看流量分析的風險介面資料,包括流量走勢、存在風險的用戶端等資訊,用於快速識別和定位可能存在風險的介面。開通正式版後,可以查看更詳細的資料資訊,協助安全營運人員識別異常流量,從而配置更精細化的防護策略。
Web防护/App防护:面向Web或App業務情境,可使用Bot管理預設防護策略快速啟用基礎防護。為實現最佳防護效果,需要持續分析規則命中情況,並相應調整防護動作。
高级自定义规则:支援自訂存取控制規則、頻率控制規則和規則分類,攔截符合規則條件請求。進階自訂規則增加了更豐富的匹配條件,如Client ID、JA3/JA4指紋、Web/App SDK採集資訊等,並支援基於條件的去重統計能力。
適用範圍
-
已在接入管理頁面完成Web業務接入。
已開通WAF 3.0執行個體,且執行個體版本為隨用隨付版,訂用帳戶進階版、企業版或旗艦版,基礎版執行個體不支援Bot管理。
開通Bot管理
-
登入Web Application Firewall3.0控制台。在頂部功能表列,選擇WAF執行個體的資源群組和地區(中國內地、非中國內地)。
-
在左側導覽列,選擇。
申請試用
進階版、企業版、旗艦版WAF執行個體支援7天免費試用Bot管理功能。試用結束後,系統將清空策略配置,如需保留試用期間的資料,請在試用結束前開通正式版。
前往Web防护、App防护或高级自定义规则頁面,單擊申請7天免費POC。
於7天免費試用POC對話方塊中,單擊確定。
進階版、企業版、旗艦版執行個體可試用Bot管理功能,每個阿里雲帳號僅提供一次試用機會。
試用期限為7天,試用結束後將自動清空Bot策略配置。如需保留試用期間的資料並繼續使用Bot管理,請在試用結束前開通正式版。
開通正式版
訂用帳戶版
在Web防护、App防护或高级自定义规则頁面中,單擊立即購買。
在立即購買面板,開啟Bot 管理 - Web 防护或Bot 管理 - APP 防护,並完成支付。
隨用隨付版
前往Web防护、App防护或高级自定义规则頁面。
在彈出的對話方塊中,勾選需要防護的對象,然後單擊立即启用。
說明單擊立即启用後,系統將為已勾選的防護對象建立防護模板,併產生額外費用。具體單價請參見隨用隨付計費說明。若無需使用Bot管理功能,請刪除所有Bot管理防護模板。
開始使用
防護時序原理圖
以下時序圖展示了JS驗證與令牌挑戰防護模式的工作原理和請求處理流程。
JS驗證時序圖
用戶端發起請求,命中JS校正對應的規則。
WAF返回攜帶JS挑戰產生演算法的HTML頁面。
瀏覽器載入JS挑戰頁面,產生加密參數後,將其添加到Cookie中,並重新發送請求。
WAF收到響應並驗證參數是否正確:
如果參數正確,則表明請求由正常使用者發起,該請求將被正常轉寄至來源站點伺服器,返回來源站點響應。
如果用戶端未攜帶JS挑戰插入的Cookie或Cookie值不正確,則表明請求可能由指令碼工具發起,WAF將再次返回JS挑戰頁面。
令牌挑戰時序圖
用戶端發起請求,命中了動態令牌處置對應的規則。
WAF返回攜帶動態令牌的HTML頁面到用戶端。
瀏覽器載入動態令牌的HTML頁面,產生加密參數後,將其添加到請求URL的參數中並重新發送請求。
WAF收到響應並驗證參數是否正確:
如果參數正確,則表明請求是由正常使用者發起,該請求將被正常轉寄至來源站點伺服器,返回真實響應。
如果用戶端未攜帶參數或參數不正確,則表明請求可能是指令碼工具發起,WAF將再次返回動態令牌頁面。