使用Bot管理防护App业务

如果您的实际业务是基于iOSAndroid原生开发的App(不包括App中使用的H5页面)等,您可以创建Bot-App防护模板,自定义防护规则,防御App爬虫。

新建模板

重要

启用了JS验证滑块防护动作,当访问流量命中规则后,Web应用防火墙将对客户端发起JS校验或滑块验证,当客户端验证通过后将会在HTTP报文的Header中分别植入Cookieacw_sc__v2acw_sc__v3,用于标识客户端已经通过验证。

  1. 登录Web应用防火墙3.0控制台。在顶部菜单栏,选择WAF实例的资源组和地域(中国内地非中国内地

  2. 在左侧导航栏,选择防护配置 > BOT管理 > App防护,单击新建模板,在防护场景定义配置向导页面,完成如下配置后,单击创建模板

    配置项

    说明

    模板名称

    为该模板设置一个名称。

    长度为1~255个字符,支持中文和大小写英文字母,可包含数字、半角句号(.)、下划线(_)和短划线(-)。

    模板介绍

    为该模板填写相关介绍信息。

    防护目标特征

    • 全局生效:无需输入流量特征,适用于客户端环境仅网页/H5的场景。

    • 定制匹配条件:依据输入特征进行匹配,适用于接口环境除网页/H5外,还存在APP/小程序,或者希望针对特定的业务接口如秒杀、登录等进行防护的场景。

      单击新增条件,添加一个条件。一个规则中最多可以添加五个条件。如果定义了多个条件,则只有当多个条件同时满足时,才算命中规则。

      每个条件由匹配字段逻辑符匹配内容组成。配置示例如下:

      • 示例1:匹配字段URI逻辑符包含匹配内容/login.php,表示当被请求的路径包含/login.php时,则请求命中该规则。

      • 示例2:匹配字段IP逻辑符属于匹配内容192.1X.XX.XX,表示当发起连接的客户端IP192.1.XX.XX时,则请求命中该规则。

      关于匹配字段和逻辑符的更多说明,请参见匹配条件说明

    排除静态文件

    支持勾选排除静态文件,可选择使用默认的静态文件类型,也可自定义添加类型。

  3. 编辑模板配置向导页面,完成如下配置后,单击下一步

    配置项

    说明

    风险识别

    单击新建,创建风险识别规则。更多详情,请参见风险识别

    启用规则后,与风险识别产品融合,配置后可实现针对黄牛等异常手机号的访问阻断,根据规则命中情况进行后付费。

    策略配置

    • 单击目标规则状态列的image图标,开启或关闭规则。

    • 单击目标规则状态列的编辑可对规则进行修改。

      • 处置动作

        • 拦截:表示拦截命中规则的请求,并向发起请求的客户端返回拦截响应页面。

          说明

          WAF默认使用统一的拦截响应页面,您可以通过自定义响应功能,自定义拦截响应页面。更多信息,请参见设置自定义响应规则配置拦截响应页面

        • 观察:表示不拦截命中规则的请求,只通过日志记录请求命中了规则。您可以通过WAF日志,查询命中当前规则的请求,分析规则的防护效果(例如,是否有误拦截等)。

          观察模式方便您试运行首次配置的规则,待确认规则没有产生误拦截后,再将规则设置为其他处置动作模式。

        • 滑块:表示WAF向客户端返回滑动验证页面。如果客户端成功执行滑动验证,则WAF在一段时间(默认30分钟)内放行该客户端的所有请求(不需要重复验证),否则拦截请求。

        • 严格滑块:表示WAF向客户端返回滑动验证页面。如果客户端成功执行滑动验证,则WAF放行本次请求,否则拦截请求。严格滑块验证模式下,客户端的每次请求都需要验证。

        • 回源标记:表示客户可以自定义Header名称及内容(规则类型、规则ID、网页端UMID),WAF不会直接处理,而是会通过新增Header的方式将命中信息返回给源站,客户可以与后端风控系统结合做业务侧处理。

      • 规则灰度

        配置规则是针对不同维度的对象的生效比例。

        开启规则灰度后,您还需要设置灰度维度灰度比例。灰度维度包括:IP自定义Header自定义参数自定义CookieSessionAPPUMID

        说明

        灰度规则是基于您设置的维度进行灰度,而不是对请求按比例随机生效规则。例如,若您选择IP维度进行灰度规则,那么触发该灰度规则的IP请求就都会命中该防护规则。

      • 生效模式

        • 永久生效(默认):防护模板开启时,规则永久生效。

        • 按时间段生效:为防止更新的防护规则在活动前被攻击者识别和破解,通常选择在活动开始时生效新规则。您可以将具体某一时区的一段时间设置为防护规则的生效时间。

        • 按周期生效:适用于周期性活动,需在活动期间启用更严格的防护规则,其他时间则使用较宽松的规则;或在低流量时段下发新规则以验证其效果和误报风险。您可以将具体某一时区的每一天的一段时间设置为防护规则的生效时间。

  4. 生效范围配置向导页面,选中需要应用的防护对象或防护对象组,单击image图标,将该防护对象或防护对象组移入已选择对象区域内,单击确认

  5. APP SDK集成(重要)

    重要

    Bot防护能力依赖SDK采集的信息,如果不集成SDK,将无法获得完整的防护能力。

    WAF提供基于Native AppSDK用以提升该场景下的防护效果。SDK集成后将会采集客户端的风险特征并生成安全签名附带在请求中,WAF会根据签名特征进行请求风险的识别和拦截。

    您可以通过如下方式,集成App SDK:

    1. 请提交工单联系我们,获取对应的SDK。

    2. 单击获取并复制appkey,用于发起SDK初始化请求。image

    3. 集成App SDK。具体操作,请参见SDK集成指南

管理模板

  • 编辑模板

    单击目标模板操作列的编辑,在编辑模板面板中对模板进行编辑。

  • 删除模板

    单击目标模板操作列的删除,在删除对话框中确认删除信息后单击确认

  • 复制模板

    单击目标模板操作列的复制,在复制对话框中确认复制信息后单击确认

  • 开启或关闭模板

    单击目标模板模板开关列的image开关,可开启或关闭该模板。

  • 查看规则

    单击目标模板的image图标,查看该模板的规则信息,单击目标规则状态列的image开关,可开启或关闭对应规则。