如果您的业务存在因自动化工具(例如脚本、模拟器等)造成网站数据被爬取、业务作弊或欺诈、撞库或垃圾注册、恶意秒杀或薅羊毛、短信接口滥刷等情况,您可以开通Bot管理,根据流量分析数据,制定有针对性的Bot防护策略,缓解核心数据资产泄露和业务营销活动风险,降低服务器带宽费用和负载。
Bot管理新版本陆续上线中,本文介绍新版Bot管理,旧版内容请参见Bot管理(旧版)。您可以通过WAF控制台左侧导航栏处样式判断:
旧版Bot管理:
新版Bot管理:
功能介绍
Bot管理为您提供如下功能,尽可能的帮助您快速识别机器流量,防御爬虫风险,避免业务数据被爬取。
流量分析:无需开通Bot管理,即可查看流量分析的风险接口数据,包括流量走势、存在风险的客户端等信息,可快速识别和定位当前可能存在风险接口。开通正式版Bot管理后,可以查看更详细的数据信息,帮助安全运维人员识别异常流量,从而配置更精细化的防护策略。请参见查看Bot管理流量分析。
Web防护/App防护:Web或App业务场景的精细化防控,可配置使用Bot管理默认防护策略对业务进行防护,为实现最佳防护效果,需要持续分析规则的命中情况,针对性的调整规则对应的防护动作。具体操作,请参见使用Bot管理防护Web业务、使用Bot管理防护App业务。
高级自定义规则:可以自定义访问控制规则、频率控制规则和规则分类,防御符合规则的请求,高级自定义规则增加了更丰富的匹配条件,如Client ID、JA3/JA4指纹、Web/App SDK采集信息等。同时支持基于条件的去重统计能力。具体操作,请参见高级自定义规则。
前提条件
开通Bot管理
登录Web应用防火墙3.0控制台。在顶部菜单栏,选择WAF实例的资源组和地域(中国内地、非中国内地)。
在左侧导航栏,选择。
开通Bot管理。
申请试用
在Web防护、App防护或高级自定义规则页面中,单击申请7天免费POC,在7天免费试用POC对话框中,单击确定。
重要高级版、企业版、旗舰版可免费试用一次Bot管理。
每个UID各提供一次7天免费POC的机会,7天后将自动清空Bot策略配置。如果您需要保留试用期间的数据,继续使用Bot管理,请在试用结束前,开通正式版Bot管理。
开通正式版Bot管理
在Web防护、App防护或高级自定义规则页面中,单击立即购买。
在立即购买面板,开启Bot管理-Web防护或Bot管理-App防护,并完成支付。
Bot管理时序图
JS验证时序图
客户端发起请求,命中JS校验对应的规则。
WAF返回携带JS挑战生成算法的HTML页面。
浏览器加载JS挑战的HTML页面,生成加密参数后,将其添加到Cookie中,并重新发送请求。
WAF收到响应并验证参数是否正确:
如果参数正确,则表明请求是由正常用户发起,该请求将被正常转发至源站服务器,返回真实响应。
如果客户端未携带JS挑战插入的Cookie或Cookie值不正确,则表明请求可能是由脚本工具发起,WAF将再次返回JS挑战页面。
动态令牌时序图
客户端发起请求,命中了动态令牌处置对应的规则。
WAF返回携带动态令牌的HTML页面到客户端。
浏览器加载动态令牌的HTML页面,生成加密参数后,将其添加到请求URL的参数中并重新发送请求。
WAF收到响应并验证参数是否正确:
如果参数正确,则表明请求是由正常用户发起,该请求将被正常转发至源站服务器,返回真实响应。
如果客户端未携带参数或参数不正确,则表明请求可能是脚本工具发起,WAF将再次返回动态令牌页面。