Web Application Firewall (WAF) のボット管理モジュールは、シナリオ固有の構成機能を提供します。 この機能を使用して、ビジネス要件に基づいてカスタムのアンチクローラールールを設定し、悪意のあるクローラーからビジネスを保護できます。 このトピックでは、アプリのアンチクローラールールを設定する方法について説明します。
背景情報
シナリオ固有の設定機能を使用すると、ビジネス要件に基づいてアンチクローラールールを設定できます。 インテリジェントアルゴリズムと一緒にこの機能を使用して、より正確な方法でクローラトラフィックを識別できます。 この機能は、設定されたアンチクローラールールに一致するクローラートラフィックを自動的に処理することもできます。 アンチクローラールールを設定した後、テスト環境でルールを検証できます。 これにより、不適切なルール設定や互換性の問題によって引き起こされるWebサイトやアプリへの悪影響を防ぎます。 悪影響は、偽陽性および望ましくない保護結果を含む。
前提条件
- サブスクリプションWAFインスタンス: WAFインスタンスがPro、Business、またはEnterpriseエディションを実行している場合、ボット管理モジュールが有効になります。
WebサイトがWAFに追加されます。 詳細については、「チュートリアル」をご参照ください。
- Anti-Bot SDKは、保護するアプリに統合されています。 詳細については、「Anti-Bot SDKのアプリへの統合」をご参照ください。
アプリのアンチクローラールールの構成
WAFコンソールにログインします。 上部のナビゲーションバーで、WAFインスタンスがデプロイされているリソースグループとリージョンを選択します。 リージョンは、中国本土または中国本土以外です。
左側のナビゲーションウィンドウで、.
[Webサイト保護] ページの上部で、[ドメイン名の切り替え] ドロップダウンリストからWebサイト保護ホワイトリストを設定するドメイン名を選択します。
- アンチクローラールールを作成していない場合は、[ボット管理] タブをクリックします。 [シナリオ固有の設定] セクションで、[開始] をクリックして、アンチクローラールールを作成します。 アンチクローラールールを作成した場合は、[ボット管理] タブの右上隅にある [追加] をクリックしてアンチクローラールールを作成します。 説明 ドメイン名に対して最大50個のアンチクローラールールを作成できます。
- [シナリオの設定] ステップで、アプリを保護するシナリオに関する基本情報を設定し、[次へ] をクリックします。
パラメーター 説明 シナリオ アプリを保護するシナリオの種類を指定します。 例: ログオン、登録、および発注。 サービスタイプ ネイティブiOSおよびAndroidアプリを保護するには、[アプリ] を選択します。 説明 HTML5アプリはiOSやAndroidのネイティブアプリではありません。 HTML5アプリを保護する場合は、[サービスタイプ] パラメーターを [Webサイト] に設定します。トラフィック特性 マッチ条件を追加して、保護するアプリ向けのトラフィックを識別します。 一致条件を追加するには、一致するフィールド、論理演算子、および一致するコンテンツを指定する必要があります。 一致フィールドは、HTTPリクエストのヘッダーフィールドである。 一致条件のフィールドの詳細については、「一致条件のフィールド」をご参照ください。 最大5つの一致条件を指定できます。 重要 IPアドレスを入力する場合は、enterキーを押す必要があります。 - [保護ルールの設定] ステップで、アンチクローラールールを設定し、[次へ] をクリックします。
パラメーター 説明 無効なアプリの署名を確認する この機能を使用して、無効なシグネチャを持つ、またはシグネチャを持たないリクエストを検出および制御できます。 この機能を無効にすることはできません。 無効なシグネチャを持つ、またはシグネチャを持たないリクエストを処理するように操作を設定できます。 ActionパラメーターをMonitorに設定すると、WAFはこれらのリクエストを許可し、セキュリティレポートとログに記録します。 ActionパラメーターをBlockに設定すると、WAFはこれらのリクエストをブロックします。 異常なデバイス動作の確認 この機能を有効にすると、WAFは異常な特性を持つデバイスからのリクエストを検出して制御します。 デバイスの次の特性は、異常な特性と見なされます。- シミュレーターの使用: シミュレータが使用されます。
- プロキシの使用: プロキシが使用されます。
- ルートツールの使用: 根付きデバイスが使用されます。
- デバッグモード: デバッグモードが有効です。
- フック:
フック技術が使用される。 - マルチボックス化: 複数の保護されたアプリプロセスがデバイス上で同時に実行されます。
ビジネス要件に基づいて、Actionパラメーターを wafnext.algorithm.handleAction.Monitor または [Block] に設定できます。
Action このパラメーターは、[モニター] または [ブロック] に設定できます。 この設定は、[無効なアプリ署名の確認] および [異常なデバイス動作の確認] に対して有効になります。 IPアドレスのスロットリング この機能を有効にすると、スロットル条件を設定して異常なリクエストを除外できます。 これにより、HTTPフラッド攻撃を軽減できます。 IPアドレスのスロットリング条件を指定できます。 指定された期間内のIPアドレスからのリクエスト数がしきい値を超えた場合、WAFは後続のリクエストに対して監視またはブロックアクションを実行します。 モニターまたはブロックアクションを実行する期間を指定することもできます。 最大3つの条件を指定できます。 詳細については、「カスタム保護ポリシーの設定」をご参照ください。
デバイス調整 この機能を有効にすると、スロットル条件を設定して異常なリクエストを除外できます。 これにより、HTTPフラッド攻撃を軽減できます。 デバイスのスロットル条件を指定できます。 指定された期間内の同じデバイスからのリクエストの数がしきい値を超えた場合、WAFは後続のリクエストに対して監視またはブロックアクションを実行します。 モニターまたはブロックアクションを実行する期間を指定することもできます。 最大3つの条件を指定できます。
カスタムセッションベースのスロットリング この機能を有効にした後、異常なリクエストを除外するためのカスタムスロットリング条件を設定できます。 これにより、HTTPフラッド攻撃を軽減できます。 セッションのスロットリング条件を指定できます。 指定された期間内の同じセッションからのリクエストの数がしきい値を超えた場合、WAFは後続のリクエストに対して監視またはブロックアクションを実行します。 モニターまたはブロックアクションを実行する期間を指定することもできます。 最大3つの条件を指定できます。 詳細については、「カスタム保護ポリシーの設定」をご参照ください。
- オプション: [アクションの検証] ステップで、アンチクローラールールが有効かどうかを確認します。 このステップは省略可能です。 この手順をスキップするには、左下隅の [スキップ] をクリックします。 ルールを公開する前に、この手順を完了することを推奨します。説明:
- ステップ1: パブリックIPアドレスを入力します。: 携帯電話などのテストデバイスのパブリックIPアドレスを入力します。 テスト中、アンチクローラールールはパブリックIPアドレスに対してのみ有効になります。 したがって、テストはビジネスには影響しません。 重要 テストデバイスのパブリックIPアドレスを取得する場合は、[Alibaba Network Diagnose Tool] をクリックします。 表示されるページで、ローカルIPを検索します。 ローカルIPの値は、テストデバイスのパブリックIPアドレスです。 ブラウザを使用して、テストデバイスのIPアドレスを検索することもできます。
- ステップ2: SDKの署名を確認します。: をクリックテストの開始アプリのSDK署名が有効であることを確認します。 説明 Anti-Bot SDKがテストデバイスに統合されていることを確認します。 Anti-Bot SDKがデバイスに統合されていない場合、署名検証は失敗し、通常の要求はブロックされ、テストは完了できません。
- ステップ3: アクションを選択します。: ブロックアクションが有効かどうかを確認します。 [テストの開始] をクリックすると、WAFはすぐにアンチクローラールールをテストデバイスに送信します。 表示されるダイアログボックスで、WAFはテスト手順、期待される結果、およびデモを提供します。 それらを注意深く読むことをお勧めします。
テストが完了したら、[テストの完了] をクリックして次のステップに進みます。 テスト結果に例外が表示されている場合は、[戻る] をクリックして、アンチクローラールールを最適化できます。 次に、もう一度テストを実行します。
テスト中に発生する可能性のある例外およびこれらの例外を処理するソリューションの詳細については、「FAQ」をご参照ください。
- ステップ1: パブリックIPアドレスを入力します。: 携帯電話などのテストデバイスのパブリックIPアドレスを入力します。 テスト中、アンチクローラールールはパブリックIPアドレスに対してのみ有効になります。 したがって、テストはビジネスには影響しません。
- [保護ルールのプレビューと公開] ステップで、アンチクローラールールの内容を確認し、[公開] をクリックします。 アンチクローラールールが公開されると、ルールはすぐに有効になります。説明 初めてアンチクローラールールを作成する場合は、ルールが公開されるまでルールIDを表示できません。 ルールIDは、セキュリティレポート ページの [ボット管理] タブに表示されます。 アンチクローラールールのIDを使用して、Log Service for WAFのルールに一致するリクエストを確認できます。
よくある質問
操作の設定 ステップ中に例外が発生した場合は、次の表を参照して問題を解決します。
エラー | 理由 | 解決策 |
有効なテスト要求は検出されません。 考えられるエラーの原因を特定するには、WAFのドキュメントを参照するか、Alibaba Cloudテクニカルサポートにお問い合わせください。 | テストリクエストの送信に失敗するか、WAFに送信されません。 | WAFが提供するCNAMEをマップするIPアドレスにテストリクエストが送信されていることを確認します。 |
テスト要求のヘッダーフィールドが、トラフィック特性アンチクローラールールのパラメーター。 | アンチクローラールールのTraffic Characteristicsパラメーターの設定を変更します。 | |
テストリクエストの送信元IPアドレスは、アンチクローラールールで指定したパブリックIPアドレスとは異なります。 | 正しいパブリックIPアドレスを使用していることを確認してください。 推奨する使用例 パブリックIPアドレスを取得するAlibaba Network Diagnose Tool。 | |
テスト要求が検証に失敗しました。 考えられるエラーの原因を特定するには、WAFのドキュメントを参照するか、Alibaba Cloudテクニカルサポートにお問い合わせください。 | 実際のユーザーアクセスはシミュレートされません。 たとえば、デバッグモードまたは自動化ツールが使用されます。 | テスト中に実際のユーザーをシミュレートして、Webサイトまたはアプリにアクセスします。 |
誤ったサービスタイプが選択されています。 たとえば、アプリのアンチクローラールールを設定すると、Web サイト が選択されます。 | Service Typeパラメーターの値を変更します。 | |
中間ドメイン名が使用されますが、アンチクローラールールで誤った中間ドメイン名が選択されます。 | 中間ドメインの使用 を選択します。 次に、ドロップダウンリストから正しい中間ドメイン名を選択します。 | |
互換性の問題はフロントエンドで発生します。 | を送信する ticket を使用して、Alibaba Cloudテクニカルサポートに連絡します。 | |
検証はトリガーされません。 考えられるエラーの原因を特定するには、WAFのドキュメントを参照するか、Alibaba Cloudテクニカルサポートにお問い合わせください。 | テストルールは生成されません。 | テストルールが生成されるまで、テストを数回実行します。 |
有効なテスト要求は検出またはブロックされません。 考えられるエラーの原因を特定するには、WAFのドキュメントを参照するか、Alibaba Cloudテクニカルサポートにお問い合わせください。 | テストリクエストの送信に失敗するか、WAFに送信されません。 | WAFが提供するCNAMEをマップするIPアドレスにテストリクエストが送信されていることを確認します。 |
テスト要求のヘッダーフィールドが、トラフィック特性アンチクローラールールのパラメーター。 | アンチクローラールールのTraffic Characteristicsパラメーターの設定を変更します。 | |
テストリクエストの送信元IPアドレスは、アンチクローラールールで指定したパブリックIPアドレスとは異なります。 | 正しいパブリックIPアドレスを使用していることを確認してください。 推奨する使用例 パブリックIPアドレスを取得するAlibaba Network Diagnose Tool。 |