网站域名接入云WAF后,您可以选择开启BOT防护功能。通过BOT防护配置,用户可以根据BOT会话行为特征设置BOT对抗策略,对BOT行为动作处理,保护网站核心业务安全。
BOT防护模块提供了默认内置的防护规则,用户也可以自定义添加防护规则。
系统默认规则
WAF提供已知公开的BOT大类,包括Web爬虫、扫描器爬虫、语言库等爬虫类型,用户可以根据自身需求设置防护状态及处置动作,WAF将对命中的BOT请求进行相应处理。
自定义防护规则
用户可以根据实际业务情况自定义防护规则,WAF将根据命中防护规则的请求进行处理。
前提条件
已开通Web应用防火墙(原生版)实例。
已完成网站域名接入。
使用限制
基础版不支持BOT防护,请升级到更高版本使用。
配置BOT防护模式
登录天翼云控制中心。
单击页面顶部的区域选择框,选择区域。
在产品服务列表页,选择“安全 > Web应用防火墙(原生版)”。
在左侧导航栏,选择“防护配置 > 对象防护配置”,进入防护配置页面。
在“防护配置”页面上方的“防护对象选择”下拉框,切换到要设置的域名。
在“安全防护”页签定位到“BOT防护”区域,可以选择开启/关闭防护状态。
配置项 说明 状态 开启或关闭BOT防护。 防护策略 BOT提供了系统默认规则,用户也可以自定义规则。
单击“前去配置”,可以进入到对应的策略配置页面进行配置。
配置防护策略
登录天翼云控制中心。
单击页面顶部的区域选择框,选择区域。
在产品服务列表页,选择“安全 > Web应用防火墙(原生版)”。
在左侧导航栏,选择“防护配置 > 对象防护配置”,进入防护配置页面。
在“防护配置”页面上方的“防护对象选择”下拉框,切换到要设置的域名。
在“安全防护”页面定位到“BOT防护”区域,在对应防护策略后方单击“前去配置”。
进入BOT防护策略配置页面,通过切换防护类型选项卡,进入不同的策略配置页面进行配置。
查看系统默认规则
系统内置了 BOT 防护规则,该防护规则会和用户自定义防护规则同时生效。
规则状态:规则支持开启和关闭,若不需要检测该类爬虫类型,可选择关闭某条规则。
修改规则的处置动作:单击操作列的“编辑”,可以修改该规则的处置动作。
筛选列表:单击列表右上角的“过滤条件”,可以对列表进行筛选查询。
添加自定义防护规则
自定义防护规则列表展示当前用户已创建的规则,包括规则状态、规则名称/规则ID、匹配条件、处置动作、优先级、风险等级、更新时间等。
单击“新建防护规则”,在规则配置页面,完成以下信息配置,然后单击“保存”。新建的规则默认状态为开启。
自定义防护规则参数说明如下:
| 配置项 | 说明 |
|---|---|
| 规则名称 | 设置规则的名称。 规则名称用于标识当前防护规则,建议您使用有明确含义的名称。 |
| 防护目标 | 需输入完整防护的网页路径或端口。 例如如 https://www.ctyun.cn/index.html,其中 https://为协议类型,www.ctyun.cn为域名地址,/index.html 为路径地址。
说明 基础版和标准版不支持配置“防护目标”,请升级到更高版本使用。 |
| 会话识别 | 支持IP、SESSION、REFERER。
|
| 匹配条件 | 设置访问请求需要匹配的条件(即特征)。 单击“新增条件”可以设置最多30个条件。存在多个条件时,多个条件必须同时满足才算命中。 当选择统计类的逻辑符(统计次数、统计个数)时,还需设置“统计周期”。 关于匹配条件的配置描述,请参见匹配条件字段说明。 |
| 处置动作 | 定义触发规则后执行的动作。
说明 当处置动作选择拦截、动态拦截时,可触发攻击惩罚,攻击惩罚功能可将多次触发自定义规则的会话对象进行自动拉黑封禁。 若需使用攻击惩罚功能,需将WAF升级到企业版或旗舰版。 |
| 风险等级 | 包括高危、中危、低危、无威胁。 |
| 优先级 | 代表该规则在BOT防护模块中执行的优先级。 可输入1~100的整数,数字越大,代表这条规则的优先级越高。相同的优先级下,创建/更新时间越晚,优先级越高。 |
| 规则描述 | 规则的描述信息,用户可自定义。 |
相关操作:
对于已创建的自定义防护规则,可以在规则列表执行以下操作:
编辑:编辑自定义防护规则的名称、防护目标、会话识别、匹配条件、处置动作、风险等级、优先级等。
删除:若不再使用某条规则,可对该规则进行删除。
状态变更:可对每一条规则单独设置启用状态,若临时无须启用某条规则,可禁用该规则。
添加动态防护规则
动态防护规则列表展示当前用户已创建的规则,包括规则状态、规则名称/规则ID、处置动作、优先级、防护目标、防护功能、更新时间等。
单击“新建防护规则”,在规则配置页面,完成以下信息配置,然后单击“保存”。新建的规则默认状态为开启。
| 配置项 | 说明 |
|---|---|
| 规则名称 | 设置规则的名称。 规则名称用于标识当前防护规则,建议您使用有明确含义的名称。 |
| 防护目标 | 需输入完整防护的网页路径或端口。 例如如 https://www.ctyun.cn/index.html,其中 https://为协议类型,www.ctyun.cn为域名地址,/index.html 为路径地址。
说明 基础版和标准版不支持配置“防护目标”,请升级到更高版本使用。 |
| 排除目标 | 通过输入排除条件,排除不需要防护的地址范围,支持多行输入,每一行为一个排除条件地址。最大支持 20 行。 |
| 动态令牌 | 默认对每一次请求数据进行签名验证,验证不通过的请求将被拦截。 |
| 客户端环境验证 | 勾选“客户端指纹检测”,可以对浏览器版本检测、客户端IP地址检测。 |
| 页面防调试 | 默认开启,用户可根据实际情况进行选择。开启页面防防调试功能后,能够防止用户对页面的调试。 注意 由于该功能会对业务的请求和响应进行混淆,所以使用该功能可能导致页面异常,请谨慎使用。建议在需要进行防护的敏感目录下开启此防护功能。 |
| 处置动作 | 支持“观察”、“拦截”。 |
| 优先级 | 代表该规则在当前防护模块中执行的优先级。 可输入1~100的整数,数字越大,代表这条规则的优先级越高。相同的优先级下,创建/更新时间越晚,优先级越高。 |
| 规则描述 | 规则的描述信息,用户可自定义。 |
查看拦截列表
当会话触发了自定义防护规则中配置的动态拦截或限速策略,可在动态防护列表中查看已被拦截或限速的对象。用户也可以根据实际情况,手动解除动态拦截/限速状态。
单击拦截列表右侧的“解除拦截”。
进入动态防护列表,可按“动态拦截”、“限速”查看防护对象,可手动解除动态拦截/限速状态。
对于正在拦截中/限速中的对象,单击操作列的“解除拦截”可放开拦截/限速对象。
