Bot管理(新版)

更新时间: 2025-08-21 17:35:08

如果您的业务存在因自动化工具(例如脚本、模拟器等)造成网站数据被爬取、业务作弊或欺诈、撞库或垃圾注册、恶意秒杀或薅羊毛、短信接口滥刷等情况,您可以开通Bot管理,根据流量分析数据,制定有针对性的Bot防护策略,缓解核心数据资产泄露和业务营销活动风险,降低服务器带宽费用和负载。

Bot管理新版本陆续上线中,本文介绍新版Bot管理,旧版内容请参见Bot管理(旧版)。您可以通过WAF控制台左侧导航栏防护配置 > BOT管理处样式判断:

  • 旧版Bot管理:image

  • 新版Bot管理:image

功能介绍

Bot管理为您提供如下功能,尽可能的帮助您快速识别机器流量,防御爬虫风险,避免业务数据被爬取。

  • 流量分析:无需开通Bot管理,即可查看流量分析的风险接口数据,包括流量走势、存在风险的客户端等信息,可快速识别和定位当前可能存在风险接口。开通正式版Bot管理后,可以查看更详细的数据信息,帮助安全运维人员识别异常流量,从而配置更精细化的防护策略。请参见查看Bot管理流量分析

  • Web防护/App防护:Web或App业务场景的精细化防控,可配置使用Bot管理默认防护策略对业务进行防护,为实现最佳防护效果,需要持续分析规则的命中情况,针对性的调整规则对应的防护动作。具体操作,请参见使用Bot管理防护Web业务使用Bot管理防护App业务

  • 高级自定义规则:可以自定义访问控制规则、频率控制规则和规则分类,防御符合规则的请求,高级自定义规则增加了更丰富的匹配条件,如Client ID、JA3/JA4指纹、Web/App SDK采集信息等。同时支持基于条件的去重统计能力。具体操作,请参见高级自定义规则

前提条件

  • 已在接入管理页面完成Web业务接入

  • 如果需要创建App防爬场景化防护模板,请确保要防护的App已集成SDK。具体操作,请参见SDK集成指南

开通Bot管理

  1. 登录Web应用防火墙3.0控制台。在顶部菜单栏,选择WAF实例的资源组和地域(中国内地非中国内地

  2. 在左侧导航栏,选择防护配置 > BOT管理

  3. 开通Bot管理。

    • 申请试用

      Web防护App防护高级自定义规则页面中,单击申请7天免费POC,在7天免费试用POC对话框中,单击确定

      重要
      • 高级版、企业版、旗舰版可免费试用一次Bot管理。

      • 每个UID各提供一次7天免费POC的机会,7天后将自动清空Bot策略配置。如果您需要保留试用期间的数据,继续使用Bot管理,请在试用结束前,开通正式版Bot管理。

    • 开通正式版Bot管理

      1. Web防护App防护高级自定义规则页面中,单击立即购买

      2. 立即购买面板,开启Bot管理-Web防护Bot管理-App防护,并完成支付。

Bot管理时序图

JS验证时序图

image
  1. 客户端发起请求,命中JS校验对应的规则。

  2. WAF返回携带JS挑战生成算法的HTML页面。

  3. 浏览器加载JS挑战的HTML页面,生成加密参数后,将其添加到Cookie中,并重新发送请求。

  4. WAF收到响应并验证参数是否正确:

    • 如果参数正确,则表明请求是由正常用户发起,该请求将被正常转发至源站服务器,返回真实响应。

    • 如果客户端未携带JS挑战插入的Cookie或Cookie值不正确,则表明请求可能是由脚本工具发起,WAF将再次返回JS挑战页面。

动态令牌时序图

image
  1. 客户端发起请求,命中了动态令牌处置对应的规则。

  2. WAF返回携带动态令牌的HTML页面到客户端。

  3. 浏览器加载动态令牌的HTML页面,生成加密参数后,将其添加到请求URL的参数中并重新发送请求。

  4. WAF收到响应并验证参数是否正确:

    • 如果参数正确,则表明请求是由正常用户发起,该请求将被正常转发至源站服务器,返回真实响应。

    • 如果客户端未携带参数或参数不正确,则表明请求可能是脚本工具发起,WAF将再次返回动态令牌页面。

上一篇: Bot管理(旧版) 下一篇: 查看Bot管理流量分析
阿里云首页 Web应用防火墙 相关技术圈