のボット管理モジュールは、シナリオ固有の設定機能を提供します。 この機能により、ビジネス要件に基づいてアンチクローラールールを設定し、悪意のあるクローラーからビジネスを保護することができます。 このトピックでは、Webサイトのアンチクローラールールを設定する方法について説明します。

背景情報

シナリオ固有の設定機能を使用すると、ビジネス要件に基づいてアンチクローラールールを設定できます。 インテリジェントアルゴリズムと一緒にこの機能を使用して、より正確な方法でクローラトラフィックを識別できます。 この機能は、設定されたアンチクローラールールに一致するクローラートラフィックを自動的に処理することもできます。 アンチクローラールールを設定した後、テスト環境でルールを検証できます。 これにより、不適切なルール設定や互換性の問題によって引き起こされるWebサイトやアプリへの悪影響を防ぎます。 悪影響は、偽陽性および望ましくない保護結果を含む。

前提条件

  • WAFインスタンス: WAFインスタンスがPro、Business、またはEnterpriseエディションを実行している場合、ボット管理モジュールが有効になります。 詳細については、「Purchase a WAF instance」をご参照ください。

手順

  1. アンチクローラールールを作成していない場合は、[ボット管理] タブをクリックします。 [シナリオ固有の設定] セクションで、[開始] をクリックして、アンチクローラールールを作成します。 アンチクローラールールを作成した場合は、[ボット管理] タブの右上隅にある [追加] をクリックしてアンチクローラールールを作成します。
    ドメイン名に対して最大50個のアンチクローラールールを作成できます。
  2. [シナリオの設定] ステップで、保護するWebサイトに関する基本情報を設定し、[次へ] をクリックします。
    パラメーター 説明
    シナリオ ドメイン名を保護するサービスシナリオの種類を指定します。 例: ログオン、登録、および発注。
    サービスタイプ Web サイト を選択します。 これにより、WAFはwebページとHTML5ページを保護します。 HTML5アプリも保護されています。

    保護するWebサイトのドメイン名が別のドメイン名からアクセスされている場合は、[中間ドメイン名を使用] を選択する必要があります。 次に、ドロップダウンリストから中間ドメイン名を選択します。

    トラフィック特性 マッチ条件を追加して、保護するWebサイトのドメイン名宛てのトラフィックを識別します。 条件を追加するには、一致するフィールド、論理演算子、および一致するコンテンツを指定する必要があります。 一致フィールドは、HTTPリクエストのヘッダーフィールドである。 一致するフィールドの詳細については、「一致条件のフィールド」をご参照ください。 最大5つのマッチ条件を追加できます。
    重要 IPアドレスを入力したら、enterキーを押す必要があります。
  3. [保護ルールの設定] ステップで、アンチクローラールールの詳細設定を行い、[次へ] をクリックします。
    パラメーター 説明
    スクリプトベースのボットブロック このスイッチをオンにすると、WAFはクライアントでJavaScript検証を実行します。 JavaScriptコードを実行できないブラウザー以外のツールからのトラフィックがブロックされます。 これにより、単純なスクリプトベースの攻撃がブロックされます。
    Dynamic Token Challenge デフォルトでは、スイッチはオフになっています。 このスイッチをオンにすると、WAFはリクエストごとに署名検証を実行します。 署名検証に失敗したリクエストはブロックされます。 署名検証例外はデフォルトで選択されており、選択解除することはできません。 署名を含まないリクエストまたは無効な署名を含むリクエストが検出されます。 [Signature Timestamp Exception][WebDriver Attack] を選択することもできます。
    インテリジェント保護 このスイッチをオンにすると、インテリジェント保護エンジンはアクセストラフィックを分析し、機械学習を実行します。 そして、解析結果と学習したパターンとに基づいてブラックリストや保護ルールを生成する。 保護モードパラメーターを [Monitor] または [Slider CAPTCHA] に設定できます。 保護モードパラメーターを [監視] に設定した場合、アンチクローラールールはルールに一致するトラフィックを許可し、セキュリティレポートにトラフィックを記録します。 保護モードパラメーターをSlider CAPTCHAに設定した場合、クライアントは保護されたドメイン名にアクセスする前に、スライダーCAPTCHA検証に合格する必要があります。
    ボット脅威インテリジェンスフィード このスイッチをオンにすると、Alibaba Cloudの脅威インテリジェンスライブラリを使用して、Alibaba Cloudユーザーからのコンテンツのクロールに頻繁に使用されるIPアドレスが識別されます。 これらのIPアドレスを使用するクライアントは、保護されたドメイン名にアクセスする前に、スライダーCAPTCHA検証に合格する必要があります。
    Data Centerブラックリスト このスイッチをオンにする場合は、ドロップダウンリストからライブラリを選択する必要があります。 このようにして、WAFはライブラリ内のIPアドレスから保護ドメイン名へのアクセス要求をブロックします。 ライブラリには、Alibaba Cloudおよびその他の主流のクラウドプロバイダーのデータセンターからの既知の悪意のあるIPアドレスが含まれています。 Data Centerブラックリスト
    IPアドレスのスロットリング このスイッチをオンにすると、クロールのために頻繁に開始されるリクエストを除外するようにスロットリング条件を設定できます。 これにより、HTTPフラッド攻撃が軽減されます。

    IPアドレスのスロットリング条件を設定できます。 指定された期間内の同じIPアドレスからのリクエストの数がしきい値を超えた場合、WAFは後続のリクエストに対して指定されたアクションを実行します。 指定されたアクションが実行される期間を設定することもできます。 アクションは、Monitor、block、またはCaptchaです。 最大3つのスロットル条件を設定できます。 詳細については、「カスタム保護ポリシーの作成」をご参照ください。

    カスタムセッションベースのスロットリング このスイッチをオンにすると、クロールのために頻繁に開始されるリクエストを除外するようにカスタムスロットル条件を設定できます。 これにより、HTTPフラッド攻撃が軽減されます。

    セッションのスロットリング条件を設定できます。 指定された期間内の同じセッションからのリクエストの数がしきい値を超えた場合、WAFは後続のリクエストに対して指定されたアクションを実行します。 アクションが実行される期間を設定することもできます。 アクションは、Monitor、block、またはCaptchaです。 詳細については、「カスタム保護ポリシーの作成」をご参照ください。

  4. オプション:[アクションの検証] ステップで、アンチクローラールールの有効性をテストします。
    このステップは省略可能です。 この手順をスキップするには、左下隅の [スキップ] をクリックします。 初めてアンチクローラールールを設定する場合は、アンチクローラールールを公開する前にこの手順を完了することをお勧めします。 これは、不適切な構成または互換性の問題によって引き起こされる誤検出を防ぐのに役立ちます。
    テストステップ:
    1. ステップ1: パブリックIPアドレスを入力します。: コンピュータや携帯電話などのテストデバイスのパブリックIPアドレスを入力します。 アンチクローラールールのテストは、パブリックIPアドレスに対してのみ有効です。 テストはビジネスには影響しません。
      重要 ipconfigコマンドを実行して取得したIPアドレスを入力しないでください。 このコマンドは、内部IPアドレスを返します。 テストデバイスのパブリックIPアドレスを取得する場合は、[Alibaba Network Diagnose Tool] をクリックします。 表示されるページで、ローカルIPを検索します。 ローカルIPの値は、テストデバイスのパブリックIPアドレスです。 ブラウザを使用して、テストデバイスのIPアドレスを検索することもできます。
    2. ステップ2: アクションを選択します。: アンチクローラールールで指定した保護アクションの有効性をテストします。 WAFは、指定されたIPアドレスに対してのみテストルールを生成します。 アクションは、JavaScript検証動的トークンベースの認証スライダーCAPTCHA検証、またはブロック検証です。

      [テストの開始] をクリックすると、WAFはすぐにテストルールをテストデバイスに送信します。 表示されるダイアログボックスで、WAFはテスト手順、期待される結果、およびデモを提供します。 それらを注意深く読むことをお勧めします。

      テストが完了したら、[テストの完了] をクリックして次のステップに進みます。 テスト結果に例外が表示されている場合は、[戻る] をクリックして、アンチクローラールールを最適化できます。 次に、もう一度テストを実行します。

      テスト中に発生する可能性のある例外とこれらの例外の解決策の詳細については、「よくある質問」をご参照ください。

  5. [保護ルールのプレビューと公開] ステップで、アンチクローラールールの内容を確認し、[公開] をクリックします。
    アンチクローラールールが公開されると、ルールはすぐに有効になります。
    初めてアンチクローラールールを作成する場合は、ルールが公開されるまでルールIDを表示できません。 ルールIDは、セキュリティレポートページの [ボット管理] タブに表示されます。 アンチクローラールールのIDを使用して、Log Service for WAFのルールに一致するリクエストを確認できます。

よくある質問

エラー 発生源 対応策
有効なテスト要求は検出されません。 考えられる原因を分析するには、WAFドキュメントを参照するか、お問い合わせください。 テストリクエストの送信に失敗するか、WAFに送信されません。 WAFが提供するCNAMEをマップするIPアドレスにテストリクエストが送信されていることを確認します。
テストリクエストのヘッダーフィールドが、アンチクローラールールでトラフィック特性に指定したヘッダーフィールドと一致しません。 アンチクローラールールのトラフィック特性の設定を変更します。
テストリクエストの送信元IPアドレスは、アンチクローラールールで指定したパブリックIPアドレスとは異なります。 正しいパブリックIPアドレスを使用してください。 パブリックIPアドレスを取得するには、 [Alibaba Network Diagnose Tool] をクリックすることを推奨します。
テスト要求が検証に失敗しました。 考えられる原因を分析するには、WAFドキュメントを参照するか、お問い合わせください。 実際のユーザーアクセスはシミュレートされません。 たとえば、デバッグモードまたは自動化ツールが使用されます。 テスト中に実際のユーザーアクセスをシミュレートします。
誤ったサービスタイプが選択されています。 たとえば、Web サイトはアプリのアンチクローラールールを設定するときに選択されます。 Service Typeパラメーターの値を変更します。
中間ドメイン名が使用されますが、アンチクローラールールで誤った中間ドメイン名が選択されます。 [中間ドメイン名を使用] を選択します。 次に、ドロップダウンリストから正しい中間ドメイン名を選択します。
互換性の問題はフロントエンドで発生します。 DingTalkグループのカスタマーサービスに連絡するか、を送信してください。
検証はトリガーされません。 考えられる原因を分析するには、WAFドキュメントを参照するか、お問い合わせください。 テストルールは生成されません。 テストルールが生成されるまで、テストを数回実行します。
有効なテスト要求は検出またはブロックされません。 考えられる原因を分析するには、WAFドキュメントを参照するか、お問い合わせください。 テストリクエストの送信に失敗するか、WAFに送信されません。 WAFが提供するCNAMEをマップするIPアドレスにテストリクエストが送信されていることを確認します。
テストリクエストのヘッダーフィールドが、アンチクローラールールでトラフィック特性するように構成したヘッダーフィールドと一致しません。 アンチクローラールールのトラフィック特性の設定を変更します。
テストリクエストの送信元IPアドレスは、アンチクローラールールで指定したパブリックIPアドレスとは異なります。 正しいパブリックIPアドレスを使用してください。 パブリックIPアドレスを取得するには、 [Alibaba Network Diagnose Tool] をクリックすることを推奨します。

次のタスク

[セキュリティレポート] ページの [ボット管理] タブに移動し、保護結果と、アンチクローラールールに一致するリクエストの詳細を表示します。 次に、保護結果に基づいてアンチクローラールールを最適化します。