如果您的業務存在因自動化工具(例如指令碼、模擬器等)造成網站資料被爬取、業務作弊或欺詐、撞庫或垃圾註冊、惡意秒殺或薅羊毛、簡訊介面濫刷等情況,您可以開通Bot管理,根據流量分析資料,制定有針對性的Bot防護策略,緩解核心資料資產泄露和業務營銷活動風險,降低伺服器頻寬費用和負載。
Bot管理新版本陸續上線中,本文介紹新版Bot管理,舊版內容請參見Bot管理(舊版)。您可以通過WAF控制台左側導覽列處樣式判斷:
舊版Bot管理:
新版Bot管理:
功能介紹
Bot管理為您提供如下功能,儘可能的協助您快速識別機器流量,防禦爬蟲風險,避免業務資料被爬取。
流量分析:無需開通Bot管理,即可查看流量分析的風險介面資料,包括流量走勢、存在風險的用戶端等資訊,可快速識別和定位當前可能存在風險介面。開通正式版Bot管理後,可以查看更詳細的資料資訊,協助安全營運人員識別異常流量,從而配置更精細化的防護策略。請參見查看Bot管理流量分析。
Web防护/App防护:Web或App業務情境的精細化防控,可配置使用Bot管理預設防護策略對業務進行防護,為實現最佳防護效果,需要持續分析規則的命中情況,針對性的調整規則對應的防護動作。具體操作,請參見使用Bot管理防護Web業務、使用Bot管理防護App業務。
高级自定义规则:可以自訂存取控制規則、頻率控制規則和規則分類,防禦符合規則的請求,進階自訂規則增加了更豐富的匹配條件,如Client ID、JA3/JA4指紋、Web/App SDK採集資訊等。同時支援基於條件的去重統計能力。具體操作,請參見進階自訂規則。
前提條件
開通Bot管理
登入Web Application Firewall3.0控制台。在頂部功能表列,選擇WAF執行個體的資源群組和地區(中国内地、非中国内地)。
在左側導覽列,選擇。
開通Bot管理。
申請試用
在Web防护、App防护或高级自定义规则頁面中,單擊申请7天免费POC,在7天免费试用POC對話方塊中,單擊确定。
重要進階版、企業版、旗艦版可免費試用一次Bot管理。
每個UID各提供一次7天免費POC的機會,7天后將自動清空Bot策略配置。如果您需要保留試用期間的資料,繼續使用Bot管理,請在試用結束前,開通正式版Bot管理。
開通正式版Bot管理
在Web防护、App防护或高级自定义规则頁面中,單擊立即购买。
在立即购买面板,開啟Bot管理-Web防護或Bot管理-App防護,並完成支付。
Bot管理時序圖
JS驗證時序圖
用戶端發起請求,命中JS校正對應的規則。
WAF返回攜帶JS挑戰產生演算法的HTML頁面。
瀏覽器載入JS挑戰的HTML頁面,產生加密參數後,將其添加到Cookie中,並重新發送請求。
WAF收到響應並驗證參數是否正確:
如果參數正確,則表明請求是由正常使用者發起,該請求將被正常轉寄至來源站點伺服器,返回真實響應。
如果用戶端未攜帶JS挑戰插入的Cookie或Cookie值不正確,則表明請求可能是由指令碼工具發起,WAF將再次返回JS挑戰頁面。
動態令牌時序圖
用戶端發起請求,命中了動態令牌處置對應的規則。
WAF返回攜帶動態令牌的HTML頁面到用戶端。
瀏覽器載入動態令牌的HTML頁面,產生加密參數後,將其添加到請求URL的參數中並重新發送請求。
WAF收到響應並驗證參數是否正確:
如果參數正確,則表明請求是由正常使用者發起,該請求將被正常轉寄至來源站點伺服器,返回真實響應。
如果用戶端未攜帶參數或參數不正確,則表明請求可能是指令碼工具發起,WAF將再次返回動態令牌頁面。