ボット管理モジュールを設定して、Webサイト、HTML5ページ、ネイティブiOSおよびAndroidアプリのアンチクローラールールを作成できます。
前提条件
Webアプリケーションファイアウォール (WAF) が有効になっています。 詳細については、「WAFの使用を開始する (new edition) 」をご参照ください。
保護するドメイン名がWAFに追加されます。 詳細については、「手順2: 保護のためのドメイン名の追加」をご参照ください。
Anti-Bot SDKは、アンチクローラールールを設定する前に保護するネイティブのiOSまたはAndroidアプリに統合されています。 HTML5アプリはiOSやAndroidのネイティブアプリではありません。 詳細については、「Anti-Bot SDKをAndroidアプリに統合する」または「Anti-Bot SDKをiOSアプリに統合する」をご参照ください。
Webサイトのアンチクローラールールの構成
webページ、HTML5ページ、またはHTML5アプリにブラウザからアクセスできる場合は、webサイトのアンチクローラールールを設定して、悪意のあるクローラーからサービスを保護できます。
左側のナビゲーションウィンドウで、.
On the保護ポリシーページをクリックします。ポリシーの作成.
[ポリシーの作成] ページで、パラメーターを設定します。 下表にパラメーターを示します。
自動統合 (推奨)
WAFは、保護パフォーマンスを向上させ、非互換性の問題を防ぐためにJavaScript用のWeb SDKを提供します。
自動統合を有効にすると、WAFは保護するWebサイトのHTMLページでSDKを自動的に参照します。 その後、SDKはブラウザ情報、プローブ署名、悪意のある動作などの情報を収集します。 機密情報は収集されません。 WAFは、収集した情報に基づいて悪意のあるクローラーを検出およびブロックします。
手動統合
自動統合がサポートされていない場合は、手動統合を使用できます。
モニター: アンチクローラールールは、ルールに一致するトラフィックを許可し、セキュリティレポートにトラフィックを記録します。
スライダーCAPTCHA: クライアントは、WAFによって保護されているWebサイトにアクセスする前に、スライダーCAPTCHA検証に合格する必要があります。
元の関連ポリシーの追加と置換: 関連するポリシーの関連付けを解除し、現在のポリシーに置き換えます。
元の関連ポリシーの追加と保持: 現在のポリシーを追加し、関連ポリシーを保持します。
保護ドメイン名は、同じポリシータイプの1つの保護ポリシーにのみ関連付けることができます。
ドメイン名が同じタイプの別の保護ポリシーに関連付けられている場合、ドメイン名の現在のポリシーを設定した後、ドメイン名は現在のポリシーに関連付けられます。
WebSocketが有効になっているDCDN高速化ドメイン名にはボット保護を設定できません。 WebSocketコンテンツは暗号化されており、攻撃特性は検出できません。 WebSocketの設定方法の詳細については、「WebSocketの設定」をご参照ください。
クリックポリシーの作成.
デフォルトでは、作成した保護ポリシーは有効になっています。
セクション | パラメーター | 説明 |
ポリシー情報 | ポリシータイプ | [ボット管理] を選択します。 |
ポリシー名 | 保護ポリシーの名前。 名前は最大64文字で、英数字、アンダースコア (_) を使用できます。 | |
グローバル設定 | サービスタイプ | [Webサイト] を選択します。 これにより、WAFはwebページ、HTML5ページ、およびHTML5アプリを保護します。 |
Web SDKの統合 | 詳細については、「Web SDKをwebアプリケーションに統合する」をご参照ください。 | |
トラフィック特性 | マッチ条件を追加して、保護するWebサイトのドメイン名宛てのトラフィックを識別できます。 条件を追加するには、一致フィールド、論理演算子、および一致コンテンツを指定する必要があります。 マッチフィールドは、HTTPリクエストのヘッダーフィールドである。 一致フィールドの詳細については、「一致条件」をご参照ください。 | |
正当なボット管理 | スパイダーホワイトリスト | この機能を有効にすると、クローラーライブラリが動的に更新され、Google、Baidu、Sogou、360、Bing、Yandexなどの主流の検索エンジンのクローラーIPアドレスが含まれます。 検索エンジンを選択すると、検索エンジンのクローラIPアドレスから送信されたリクエストが配信元サーバーに送信されます。 次いで、ボット管理モジュールは、もはや要求をチェックしない。 |
ボット特性検出 | スクリプトベースのボットブロック (JavaScript) | この機能を有効にすると、WAFはクライアントでJavaScript検証を実行します。 単純なスクリプトベースの攻撃を防ぐために、JavaScriptを実行できないブラウザ以外のツールからのトラフィックがブロックされます。 |
高度なボット防御 (動的トークンベースの認証) | この機能を有効にすると、WAFは各リクエストの署名を検証します。 署名検証に失敗したリクエストはブロックされます。 署名検証例外はデフォルトで選択されており、クリアできません。 署名を含まないリクエストまたは無効な署名を含むリクエストが検出されます。 Signature Timestamp ExceptionとWebDriver Attackを選択することもできます。 | |
ボット動作検出 | AIインテリジェント保護 | この機能を有効にすると、インテリジェント保護エンジンはアクセストラフィックを分析し、機械学習を実行します。 そして、解析結果と学習したパターンとに基づいてブラックリストや保護ルールを生成する。 |
カスタム調整 | IPアドレスのスロットリング (デフォルト) | IPアドレスのスロットリング条件を設定できます。 統計間隔 (秒) で指定された値内の同じIPアドレスからのリクエストの数が [しきい値 (時間)] の値を超える場合、WAFは後続のリクエストに対して指定されたアクションを実行します。 アクションは、[アクション] ドロップダウンリストから [スライダーCAPTCHA] 、[ブロック] 、または [モニター] を選択して指定できます。 スロットル間隔 (秒) パラメーターを設定することもできます。これは、指定されたアクションが実行される期間を指定します。 最大3つのスロットル条件を設定できます。 詳細については、「カスタムルールパラメーター」をご参照ください。 |
カスタムセッション調整 | セッションのスロットリング条件を設定できます。 [セッションタイプ] パラメーターを設定して、セッションタイプを指定できます。 統計間隔 (秒) で指定された値内の同じIPアドレスからのリクエストの数が [しきい値 (時間)] の値を超える場合、WAFは後続のリクエストに対して指定されたアクションを実行します。 アクションは、[アクション] ドロップダウンリストから [スライダーCAPTCHA] 、[ブロック] 、または [モニター] を選択して指定できます。 スロットル間隔 (秒) パラメーターを設定することもできます。これは、指定されたアクションが実行される期間を指定します。 最大3つのスロットル条件を設定できます。 詳細については、「カスタムルールパラメーター」をご参照ください。 | |
ボット脅威インテリジェンス | ボット脅威インテリジェンスライブラリ | ライブラリには、特定の期間にAlibaba Cloudユーザーからコンテンツをクロールするために複数のリクエストを送信した攻撃者のIPアドレスが含まれています。 保護モードを [Monitor] または [Slider CAPTCHA] に設定できます。 |
Data Centerブラックリスト | この機能を有効にすると、選択したデータセンターのIPアドレスライブラリのIPアドレスがブロックされます。 パブリッククラウドまたはデータセンターの送信元IPアドレスを使用して保護するWebサイトにアクセスする場合は、そのIPアドレスをホワイトリストに追加する必要があります。 たとえば、AlipayまたはWeChatのコールバックIPアドレスとモニタリングアプリケーションのIPアドレスをホワイトリストに追加する必要があります。 データセンターブラックリストは、次のIPアドレスライブラリをサポートしています。データセンターのIPアドレスライブラリ-Alibaba Cloud、データCenter-21VianetのIPアドレスライブラリ、データセンターのIPアドレスライブラリ-Meituanオープンサービス、データセンターのIPアドレスライブラリ-Tencent Cloud、およびデータセンターのIPアドレスライブラリ-その他。 ActionsパラメーターをMonitor、Slider CAPTCHA、またはBlockに設定できます。 | |
偽のクモブロッキング | この機能を有効にすると、WAFは、正当なボット管理セクションで指定されたすべての検索エンジンで使用されるUser-Agentヘッダーをブロックします。 検索エンジンにアクセスするクライアントのIPアドレスが有効であることが証明された場合、WAFは検索エンジンからの要求を許可します。 | |
保護されたドメイン名 | 関連付けモードの選択 | |
保護されたドメイン名 | 現在の保護ポリシーに関連付けるドメイン名。 説明 |
アプリのアンチクローラールールの構成
ネイティブのiOSまたはAndroidアプリにアンチクローラールールを設定して、サービスをクローラーから保護することができます。 HTML5アプリはiOSやAndroidのネイティブアプリではありません。
左側のナビゲーションウィンドウで、.
On the保護ポリシーページをクリックします。ポリシーの作成.
[ポリシーの作成] ページで、パラメーターを設定します。 下表にパラメーターを示します。
セクション
パラメーター
説明
ポリシー情報
ポリシータイプ
[ボット管理] を選択します。
ポリシー名
保護ポリシーの名前。 名前は最大64文字で、英数字、アンダースコア (_) を使用できます。
グローバル設定
サービスタイプ
ネイティブiOSおよびAndroidアプリを保護するには、[アプリ] を選択します。
Web SDKの統合
WAFは、AndroidおよびiOSネイティブアプリの保護パフォーマンスを向上させるためのAnti-Bot SDKを提供します。 Anti-Bot SDKの統合後、Anti-Bot SDKはクライアントのリスク特性を収集し、リクエストにセキュリティ署名を生成します。 WAFは、シグネチャに基づいて安全でないと識別されたリクエストを識別およびブロックします。 SDKパッケージを取得するには、[AppKeyの取得とコピー] をクリックし、次に チケットを起票 詳細については、「Anti-Bot SDKをAndroidアプリに統合する」または「Anti-Bot SDKをiOSアプリに統合する」をご参照ください。
トラフィック特性
マッチ条件を追加して、保護するWebサイトのドメイン名宛てのトラフィックを識別できます。 条件を追加するには、一致フィールド、論理演算子、および一致コンテンツを指定する必要があります。 マッチフィールドは、HTTPリクエストのヘッダーフィールドである。 一致フィールドの詳細については、「一致条件」をご参照ください。 最大5つのマッチ条件を追加できます。
ボット特性検出
無効なアプリ署名
デフォルトでは、[無効なアプリ署名] が選択されており、削除できません。 この機能は、無効な署名を含むリクエスト、またはAnti-Bot SDKの統合後に署名を含まないリクエストをブロックします。
異常なデバイス動作
この機能を有効にすると、WAFは異常な動作を持つデバイスからのリクエストを検出して制御します。 次の動作は異常と見なされます。
期限切れ署名: 署名の有効期限が切れます。 この動作はデフォルトで選択されています。
Using Simulator: シミュレータを使用します。
Using Proxy: プロキシが使用されます。
根付きデバイス: 根付きデバイスが使用されます。
デバッグモード: デバッグモードが使用されます。
フック: フック技術が使用される。
マルチボックス化: 複数の保護されたアプリプロセスがデバイス上で同時に実行されます。
シミュレーション実行: ユーザ行動シミュレーション技術が使用される。
スクリプトツール: 自動スクリプトが使用されます。
カスタム署名フィールド
[フィールド名] ドロップダウンリストから [ヘッダー] 、[パラメーター] 、または [クッキー] を選択し、[値] フィールドにカスタム署名を入力します。
カスタム署名が空の場合、特殊文字が含まれている場合、または長さが制限を超えている場合は、署名をハッシュするか、他の方法を使用して署名を処理し、値フィールドに処理結果を入力できます。
Action
ビジネス要件に基づいて、[モニター] または [ブロック] を選択します。
Monitor: アラートをトリガーし、リクエストをブロックしません。
ブロック: リクエストをブロックします。
二次パッケージング検出
パッケージ名または署名がホワイトリストにないアプリから送信されたリクエストは、二次パッケージリクエストと見なされます。 有効なアプリケーションパッケージを指定できます。
有効なパッケージ名: 有効なアプリケーションパッケージ名を入力します。 例: example.aliyundoc.com。
署名: 署名を取得するには、Alibaba Cloudテクニカルサポートにお問い合わせください。 このパラメーターは、パッケージ署名を検証する必要がない場合はオプションです。 この場合、WAFはパッケージ名のみを検証します。
説明Signatureの値は、アプリケーション証明書の署名ではありません。
最大5つの有効なiOSまたはAndroidアプリパッケージを追加でき、パッケージ名は一意である必要があります。
ビジネス要件に基づいて、[モニター] または [ブロック] を選択します。
スロットリング
IPアドレスのスロットリング (デフォルト)
IPアドレスのスロットリング条件を設定できます。 統計間隔 (秒) で指定された値内の同じIPアドレスからのリクエストの数が [しきい値 (時間)] の値を超える場合、WAFは後続のリクエストに対して指定されたアクションを実行します。 アクションは、[アクション] ドロップダウンリストから [ブロック] または [モニター] を選択して指定できます。 スロットル間隔 (秒) パラメーターを設定することもできます。これは、指定されたアクションが実行される期間を指定します。 最大3つのスロットル条件を設定できます。 詳細については、「カスタムルールパラメーター」をご参照ください。
デバイス調整
デバイスのスロットリング条件を設定できます。 [統計間隔 (秒)] で指定された値内の同じデバイスからのリクエストの数が [しきい値 (時間)] の値を超える場合、WAFは後続のリクエストに対して指定されたアクションを実行します。 アクションは、[アクション] ドロップダウンリストから [ブロック] または [モニター] を選択して指定できます。 スロットル間隔 (秒) パラメーターを設定することもできます。これは、指定されたアクションが実行される期間を指定します。 最大3つのスロットル条件を設定できます。 詳細については、「カスタムルールパラメーター」をご参照ください。
カスタムセッション調整
セッションのスロットリング条件を設定できます。 [セッションタイプ] パラメーターを設定して、セッションタイプを指定できます。 [統計間隔 (秒)] で指定された値内の同じセッションからのリクエストの数が [しきい値 (時間)] の値を超える場合、WAFは後続のリクエストに対して指定されたアクションを実行します。 アクションは、[アクション] ドロップダウンリストから [ブロック] または [モニター] を選択して指定できます。 スロットル間隔 (秒) パラメーターを設定することもできます。これは、指定されたアクションが実行される期間を指定します。 最大3つのスロットル条件を設定できます。 詳細については、「カスタムルールパラメーター」をご参照ください。
ボット脅威インテリジェンス
ボット脅威インテリジェンスライブラリ
ライブラリには、特定の期間にAlibaba Cloudユーザーからコンテンツをクロールするために複数のリクエストを送信した攻撃者のIPアドレスが含まれています。
保護モードを [Monitor] または [Slider CAPTCHA] に設定できます。
Data Centerブラックリスト
この機能を有効にすると、選択したデータセンターのIPアドレスライブラリのIPアドレスがブロックされます。 パブリッククラウドまたはデータセンターの送信元IPアドレスを使用して保護するWebサイトにアクセスする場合は、そのIPアドレスをホワイトリストに追加する必要があります。 たとえば、AlipayまたはWeChatのコールバックIPアドレスとモニタリングアプリケーションのIPアドレスをホワイトリストに追加する必要があります。 データセンターブラックリストは、次のIPアドレスライブラリをサポートしています。データセンターのIPアドレスライブラリ-Alibaba Cloud、データCenter-21VianetのIPアドレスライブラリ、データセンターのIPアドレスライブラリ-Meituanオープンサービス、データセンターのIPアドレスライブラリ-Tencent Cloud、およびデータセンターのIPアドレスライブラリ-その他。
ActionsパラメーターをMonitor、Slider CAPTCHA、またはBlockに設定できます。
保護されたドメイン名
関連付けモードの選択
元の関連ポリシーの追加と置換: 関連するポリシーの関連付けを解除し、現在のポリシーに置き換えます。
元の関連ポリシーの追加と保持: 現在のポリシーを追加し、関連ポリシーを保持します。
保護されたドメイン名
現在の保護ポリシーに関連付けるドメイン名。
説明保護ドメイン名は、同じポリシータイプの1つの保護ポリシーにのみ関連付けることができます。
ドメイン名が同じタイプの別の保護ポリシーに関連付けられている場合、ドメイン名の現在のポリシーを設定した後、ドメイン名は現在のポリシーに関連付けられます。
クリックポリシーの作成.
デフォルトでは、作成した保護ポリシーは有効になっています。