Web应用防火墙(WAF)配备了内建的手机号信誉数据库,旨在防范垃圾账号注册、营销活动作弊等行为。WAF可以根据配置,在HTTP请求中检测手机号或其MD5加密信息,并将其与信誉库进行对比。如果发现与异常行为相关的标签,WAF将采取相应的措施,例如启动滑块验证、直接阻止访问或者将标记信息传回服务器。
使用前提
已在接入管理页面完成Web业务接入。具体操作,请参见接入管理概述。
已开启Bot管理-Web防护或Bot管理-APP防护,同时开启风险识别功能。
计费说明
已配置规则且有流量命中规则,会产生费用。单价为0.05元/次。
开启风险识别未配置规则,不计费。已配置规则且没有流量命中规则,不计费。
风险识别功能计费为WAF收取,产生计费将会按天出账
设置风险识别
在BOT管理场景化的防护规则推荐向导页面进行配置。具体操作,请参见创建网页防爬场景化防护规则,创建App防爬场景化防护规则。
配置说明
账号提取:如果登录请求的请求方法是GET,同时请求参数为username=158***&password=***,则在账号位置选择Query参数,在参数名称处填写username, WAF即可提取手机号信息进行后续匹配。
风险标签与风险等级:
风险标签
说明
疑似小号
疑似第三方平台提供手机号,非个人用户,默认为高风险。
诈骗风险
疑似历史上存在欺诈行为,默认为高风险。
垃圾注册
疑似使用非法工具进行用户注册,用于后续的营销活动等,默认为高风险。
营销作弊
疑似使用非法工具参与营销活动,如批量注册领取优惠券等,默认为高风险。
黄牛账号
疑似使用非法工具参与抢票或其他秒杀类活动,默认为高风险。
风险等级分为高风险、中高风险、中风险,用户可以根据业务需求自由选择。
处置动作:
处置动作
说明
观察
不拦截命中规则的请求,只通过日志记录请求命中了规则。
拦截
拦截命中规则的请求,并向发起请求的客户端返回拦截响应页面。
滑块
弹出滑块页面,需要滑动通过后才可以进行访问,滑动通过后颁发acw_sc_v3 cookie,30分钟内不会再弹出滑块。
严格滑块
每次命中规则都会弹出滑块页面。
回源标记
用户可以自定义Header及内容,WAF不会直接处理,而是会通过新增Header的方式将命中信息返回给源站,用户可以与后端风控系统结合做业务侧处理。