通过 BOT 与业务安全中的场景配置,可以快速创建符合业务场景的防护策略,并支持根据不同的业务类型创建多个场景,精细化保护网站核心接口和业务免受 BOT 侵害。BOT 管理默认支持简易模式和多场景模式两种配置模式,以满足不同用户的配置需求。
简易模式:如该域名需针对全部路径快速上线兜底防护策略,建议使用简易模式,支持快速开启专家预置规则集、前端对抗及智能分析功能,监控业务中的 BOT 流量,您可以观察命中流量后再调整为拦截模式。
多场景模式:如该域名需针对不同的路径上线不同的个性化防护配置,建议使用多场景模式,支持针对不同的路径配置、不同的业务场景(秒杀、防扫描、防爬等)启用不同的专家预置基础规则集和自定义规则集,您可以观察命中流量后再调整为拦截模式。
本文将介绍简易模式的操作指南,简易模式适用于快速针对域名下全部路径上线兜底防护策略,便捷开启防护策略的场景。切换至简易模式时,该域名下的多场景模式配置将保留但不生效,仅生效简易模式防护配置。
前提条件
BOT 流量管理需要购买 WAF 对应实例的 BOT 流量管理功能。
已在 BOT 与业务安全页面,选择需要防护的域名,并开启 BOT 流量开关。
说明:
精准域名接入、CLB 对象类型接入支持开启 BOT 流量开关。
切换到简易模式
1. 登录 Web 应用防火墙控制台,在左侧导航栏中,选择配置中心 > BOT 与业务安全。
2. 在 BOT 与业务安全页面,左上角选择需要防护的域名,单击 BOT 管理。
3. 在 BOT 管理的 BOT 概览中,开启BOT 管理的
,并单击切换到简易模式。说明:
切换到简易模式后,在 BOT 防护页面的基础防护中,将开启部分默认配置并支持自定义调整。
4. 在确认开启窗口中,单击确定,即可切换到简易模式。
5. 切换到简易模式后,可以在查看当前简易模式场景的场景 ID,经过该场景的流量将在日志中记录场景 ID。
防护规则集
防护规则集模块内置专家运营的误报率低于0.05%的 BOT 检测规则集,精准识别可疑 BOT 特征,默认全局开启监控模式。
1. 登录 Web 应用防火墙控制台,在左侧导航栏中,选择配置中心 > BOT 与业务安全。
2. 在 BOT 与业务安全页面,左上角选择需要防护的域名,单击 BOT 管理。
3. 在 BOT 管理页面的基础防护模块中,支持单击切换全局防护模式为监控、重定向、人机识别、拦截或自定义模式。
4. 在 BOT 管理页面的基础防护模块中,支持下拉切换防护等级为严格或正常。
严格模式:默认为严格模式,切换后,所有低危、中危、高危、超高危规则开关开启。
正常模式:切换后,所有中危、高危、超高危规则开关开启。
5. 单击前往防御设置,展开侧边栏,支持查看系统预置的基础规则集详情或添加自定义规则。
查看基础规则详情
在基础规则页面,支持筛选不同的 BOT 类型,当前已支持5类 BOT 的检出与防护。
BOT 类型 | 影响 |
爬虫型 BOT | 这类 BOT 用于抓取和索引网站内容,过度抓取可能会导致服务器负载过高,影响网站性能,甚至窃取敏感数据。 |
恶意扫描型 BOT | 这类 BOT 会自动扫描互联网上的网站和服务,寻找已知漏洞和弱点,可能会导致未经授权的访问、数据泄露、拒绝服务攻击等安全问题。 |
垃圾邮件发送型 BOT | 这类 BOT 用于发送垃圾邮件,可能包含广告、恶意链接或钓鱼邮件,可能会对用户导致用户收到大量垃圾邮件,影响用户体验,同时可能导致欺诈、恶意软件传播等安全问题。 |
DDoS 型 BOT | 这类 BOT 用于发起分布式拒绝服务攻击,可能会导致目标网站或服务瘫痪,影响正常用户的使用,给受害者带来重大损失。 |
社交媒体自动化型 BOT | 这类 BOT 用于在社交媒体平台上自动发布、点赞、关注和评论等,可能导致社交媒体平台的数据不准确,对正常用户和社交平台造成损害。 |
修改基础规则状态
选中一个或多个规则 ID,支持批量切换防护动作为监控模式/拦截模式。
选中一个或多个规则 ID,支持批量启用/批量禁用规则,调整规则生效状态。
说明:
规则开关关闭时,规则将不再检测并防护。
添加自定义规则
1. 单击添加规则,唤起自定义规则弹窗,根据访问特征配置防护规则。
参数说明:
规则名称:输入规则的名称,不可超过50个字符。
规则描述:输入规则描述,最长256个字符。
规则开关:规则的启用状态,若关闭开关,则表示不启用。
匹配条件:选择匹配字段、逻辑符号并输入匹配内容,对符合匹配条件的请求执行动作。每条规则支持最多选择10个匹配字段,多个匹配字段之间的生效逻辑为与(AND)。鼠标悬停具体的匹配条件时,可以查看相应的字段说明。
字段类型 | 匹配字段 | 字段说明 |
生效范围 | 请求路径 | 策略生效的请求 URL 范围 |
| HOST | 策略生效的客户端请求的域名范围 |
请求内容 | Header 参数值 | HTTP 请求中的某个参数的具体值 |
| GET 参数值 | 通过 GET 方法传递给服务器的某个查询字符串参数的具体值 |
| POST 参数值 | 通过 POST 方法提交给服务器的某个表单字段或请求体中的参数的具体值 |
| COOKIE 参数值 | HTTP 中 Set-Cookie 头部所设置的某个 Cookie 的具体值 |
会话特征 | 会话平均速度 | 会话平均速度 = 会话总次数 / 会话持续时间 |
| 会话总次数 | 会话内访问的总次数 |
| 会话持续时间 | 会话持续时间 = 会话结束时间 - 会话起始时间 |
| 会话存在 Robots.txt | 会话内是否存在某个 url 包含 robots.txt |
请求特征 | 请求最多的 URL | 请求最多的 URL 为指定 URL |
| URL 重复比 | URL 重复比 = 请求最多的 URL 出现次数 / 会话内请求总次数 |
| URL 种类 | 一次会话请求中,会话内 URL 去重后条目数 |
| 请求最多的参数 | 请求最多的参数为指定参数 |
| 参数重复比 | 参数重复比 = 请求最多的参数出现次数 / 会话内请求总次数 |
COOKIE | COOKIE 重复比 | (非空 cookie 数 - cookie 种类) / 非空 cookie 数 |
| COOKIE 存在比 | 非空 cookie 数 / 会话内请求总次数 |
| COOKIE 滥用 | 是否存在 COOKIE 滥用情况 |
| 请求最多的COOKIE | 一次会话请求中,出现次数最多的 Cookie 为指定 Cookie |
HTTP 头部 | 请求方法占比 | 一次会话中,各请求方法出现次数占比 |
| HTTP 协议版本占比 | 一次会话中,各 HTTP 协议版本的出现次数占比 |
| 返回状态码占比 | 一次会话中,各返回状态码出现次数占比 |
IP 特征 | 访问源 IP | 请求的访问源 IP |
| IP 类型 | 访问源 IP 的类型,依据威胁情报标签分类 |
| IP 所有者 | 访问源 IP 所属的运营商 |
| IP 包含会话数 | 每个访问源 IP 包含的会话个数 |
| IP 归属地 | 访问源 IP 归属的地域 |
UserAgent | 请求最多的 UA | 请求最多的 UA 为指定 UA |
| UA 种类 | 会话内 UA 的种类数 |
| UA 存在比 | 非空的 UA 数目 / 会话内请求总次数 |
| UA 类型 | UA 的类型,依据 UA 策略中的不同 UA 类型分类 |
| UA 随机性指数 | 各 UA 频次的方差,衡量离散程度 |
Referer | 请求最多的 Referer | 请求最多的 Referer 为指定 Referer |
| Referer 重复比 | (非空 Referer 数 - Referer 种类) / 非空 Referer 数 |
| Referer 存在比 | 非空 Referer 数 / 会话内请求总次数 |
| Referer 滥用 | 是否存在 Referer 滥用情况 |
会话设置 | 会话 ID 存在性 | 是否存在 token |
| 会话 ID | token 值 |
| 会话包含 IP 数 | 一次会话请求中,包含的IP个数 |
执行动作:可设置为信任、监控、重定向(重定向至特定网站 URL)、人机识别(验证码)或拦截。
动作类型 | 说明 |
监控 | 符合匹配条件的会话请求将会被监控记录日志,可在 BOT 详情的自定义类型中查看监控的会话信息。 |
重定向 | 符合匹配条件的会话请求执行重定向,将请求重定向到指定 URL,但只支持重定向到当前域名下的 URL。 |
人机识别 | 仅用于浏览器访问场景,符合匹配条件的会话请求将进行验证码挑战,若挑战失败,执行拦截动作。若挑战成功,正常访问。 单击人机识别旁的设置,支持对进一步设置验证码的重试次数、放行时长、拦截时长。 |
拦截 | 选择拦截动作时,支持设置命中规则的请求返回的响应页面内容,自定义返回页面。 |
信任 | 符合匹配条件的会话请求将被放行,放行不记录日志。 |
优先级:请输入1~100的整数,数字越小,代表这条规则的执行优先级越高;相同优先级下,创建时间越晚,优先级越高。
自定义标签:可设置为友好 BOT、恶意 BOT、正常流量或疑似 BOT。
标签类型 | 说明 |
正常流量 | 识别访问流量为正常人类。 |
友好 BOT | 识别该访问源流量为对网站友好/合法的 BOT。 |
疑似 BOT | 识别出该访问源流量疑似为 BOT,但无法判断其对网站是否为有害。 |
恶意 BOT | 识别该访问源流量为对网站产生恶意流量/访问请求不友好的 BOT。 |
生效方式:可设置为永久生效、定时生效、周粒度生效、月粒度生效。
标签类型 | 说明 |
永久生效 | 永久生效 |
定时生效 | 按照每日的指定时间段生效。 |
周粒度生效 | 按照每周的特定日及时间段生效。 |
月粒度生效 | 按照每月的特定日期及时间段生效。 |
2. 内容确认无误后,单击确定。
前端对抗
前端对抗功能通过客户端动态安全验证技术,对业务请求的每个客户端生成唯一 ID,检测客户端在访问 Web 或 HTML5 页面时可能存在的机器人和恶意爬虫行为,以保护网站业务安全。
1. 登录 Web 应用防火墙控制台,在左侧导航栏中,选择配置中心 > BOT 与业务安全。
2. 在 BOT 与业务安全页面,左上角选择需要防护的域名,单击 BOT 管理。
3. 在 BOT 管理页面的前端对抗模块中,单击前端对抗开关,开启前端对抗模块防护能力。开启后,命中前端对抗的恶意流量将记录命中规则 ID。
注意:
前端对抗技术仅适用于 Web 或 HTML5 环境,移动端和小程序暂不支持。
CLB-WAF 实例添加的域名,暂时不支持开通前端对抗。
SaaS-WAF 实例添加的泛域名,暂时不支持开通前端对抗。
基于对抗功能设计,开启前端对抗功能开关后会在 Response 中插入 JS ,可能导致 WAF 到源站带宽略有增加。
4. 单击防护模式,支持切换监控、重定向、人机识别、拦截四种防护模式,调整命中流量的执行动作。
5. 在全局设置模块中,单击前端对抗中的前往配置,弹出前端对抗侧边栏。
6. 侧边栏中支持调整自动化识别攻击、页面防调试功能是否开启,以及添加前端对抗白名单策略。具体详情请参见 客户端风险识别。
智能分析
默认开启智能分析功能,通过威胁情报、AI 策略、智能统计、UA 策略等多维度对请求评分,并根据不同的 BOT 得分区间设置不同处置策略。
1. 登录 Web 应用防火墙控制台,在左侧导航栏中,选择配置中心 > BOT 与业务安全。
2. 在 BOT 与业务安全页面,左上角选择需要防护的域名,单击 BOT 管理。
3. 在 BOT 管理页面的智能分析模块中,支持单击编辑配置,唤起智能分析设置侧边栏。命中智能分析的流量将记录命中的动作策略ID。
4. 在智能分析配置页面,支持开启/关闭如下四个子模块的分析开关;关闭后,将不再分析对应的策略且不计入 BOT 得分评估中。
标签类型 | 说明 |
威胁情报 | 威胁情报结合腾讯多年的安全经验和数据,7*24小时不间断地提供高可靠性威胁情报,包含IDC网络、威胁情报库两类情报。 |
AI 策略 | 基于人工智能技术和腾讯风控实战沉淀,将风控特征和黑灰产对抗经验转化为 AI 评估模型,快速识别恶意访问者。支持添加白名单,加白指定 URL。 |
智能统计 | 基于大数据分析统计和人工智能技术,根据域名的用户群体的流量特征自动分类,区分正常用户和恶意用户。 |
UA 策略 | 基于人工智能技术和腾讯风控实战沉淀,精准识别不同的 UA 类型及特征,快速识别恶意终端。 |
5. 在动作策略模式设置中,支持快速切换防护模式或使用自定义模式;且各模式的分数段、执行动作、标签支持修改。
标签类型 | 说明 |
模式设置 | 提供宽松模式、中等模式、严格模式、自定义模式四种默认处置模式,宽松、中等、严格这三种模式为预设模式,分别代表 BOT 流量管理针对不同危害程度的 BOT 的推荐分类及处置策略。这三种预设模式可进行修改,修改后为自定义模式。 |
分数段设置 | 分数段区间总分数为 0-100 分,每个分数段共可以添加10条,配置的分数区间范围左闭右开,分数段不可重合,分数区间可设置为空,设置为空时,空的分数段不处置动作。 |
动作设置 | 可设置为信任、监控、重定向(重定向至特定网站 URL)、人机识别(验证码)或拦截。 |
标签设置 | 可设置为友好 BOT、恶意 BOT、正常流量或疑似 BOT。 |
6. 内容确认无误后,单击保存。