すべてのプロダクト
Search
ドキュメントセンター

Web Application Firewall:ボット管理モジュールの有効化と設定

最終更新日:Sep 26, 2024

Web Application Firewall (WAF) のボット管理モジュールは、エミュレーターや悪意のあるスクリプトなどの自動化ツールによって開始される攻撃を軽減します。 攻撃には、データのクロール、詐欺、資格情報のスタッフィング攻撃、スパムユーザーの登録、自動購入ボット、プロモーションの悪用、SMSフラッド攻撃が含まれます。 ボットトラフィックの分析データに基づいてボット管理ルールを設定し、マーケティング活動中のデータリークやリスクを軽減することを推奨します。 これにより、サーバーのワークロードと帯域幅コストを削減できます。 このトピックでは、ボット管理モジュールを有効にし、ボット管理ルールを設定する方法について説明します。

機能の説明

ボット管理モジュールは、ボットトラフィック分析、基本的な保護、およびシナリオ固有の保護を提供します。 ボット管理モジュールは、ボットトラフィックを特定し、クローラーから防御してwebサービスをクロールから保護するのに役立ちます。

  • ボットトラフィック分析: ボット管理モジュールを有効にするかどうかに関係なく、この機能を使用できます。

    ボット管理モジュールを有効にしなくても、特定の時間範囲内のボットトラフィックの傾向、リスクの高い上位20のクライアント、リスクの高い上位20のIPアドレス、保護されたオブジェクトへのボットトラフィックの分析データなど、ボットトラフィック分析の結果を表示できます。 これにより、危険なドメイン名を効率的に特定して見つけることができます。 詳細については、「ボットトラフィックの分析データの表示」をご参照ください。

    トライアルを申請するか、ボット管理モジュールを有効にして、危険なドメイン名に対してシナリオ固有の保護を設定できます。 トライアルを申請する方法とボット管理モジュールを有効にする方法の詳細については、「ボット管理モジュールの有効化」をご参照ください。

  • シナリオベースの保護: 機能を使用する前に、ボット管理モジュールを有効にする必要があります。

    シナリオ固有の保護機能では、SDKを統合して、Webサイトやアプリをクローラーから保護するカスタムルールを構成できます。 詳細については、「Webサイトのアンチクローラールールの作成」および「アプリのアンチクローラールールの作成」をご参照ください。

    この機能は、ボットトラフィックに敏感なユーザーに適しています。

  • 基本的な保護: 機能を使用する前に、ボット管理モジュールを有効にする必要があります。

    基本的な保護機能は、フィンガープリント技術を使用してレイヤー4およびレイヤー7ボットトラフィックを検出します。 SDKを統合する必要なく、この機能を使用できます。 詳細については、「基本保護ルールの作成」をご参照ください。

    この機能は、簡単な方法で保護ルールを設定することにより、低レベルのクローラーから防御したいユーザーに適しています。

前提条件

ボットトラフィックの分析データの表示

  1. WAF 3.0コンソールにログインします。 上部のナビゲーションバーで、WAFインスタンスのリソースグループとリージョンを選択します。 中国本土 または 中国本土以外 を選択できます。

  2. 左側のナビゲーションウィンドウで、保護設定 > BOT 管理 を選択します。

  3. [ボットトラフィック分析] タブで、[ボットトラフィックの傾向][上位20の危険なクライアント][上位20の危険なIPアドレス] 、および [保護オブジェクトへのボットトラフィックの分析データ] を表示します。 image.png

ボット管理モジュールの有効化

  1. WAF 3.0コンソールにログインします。 上部のナビゲーションバーで、WAFインスタンスのリソースグループとリージョンを選択します。 中国本土 または 中国本土以外 を選択できます。

  2. 左側のナビゲーションウィンドウで、保護設定 > BOT 管理 を選択します。

  3. ボット管理モジュールを有効にします。

    • 無料トライアルに申し込む

      説明
      • ボット管理モジュールの無料トライアルは1回だけ申請できます。 WAF Pro、Enterprise、またはUltimateインスタンスを使用している場合にのみ、無料トライアルを申請できます。

      • 申請が承認された後、7日間の無料トライアルを受けることができます。 試用期間中に生成された分析データは、試用期間中にのみ利用可能です。 分析データを保持する場合は、試用期間が終了する前にボット管理モジュールを有効にします。

      [ボットトラフィック分析] タブで、[トライアルの申請] をクリックします。 表示されるページで、アプリケーション情報を入力し、[送信] をクリックします。

      トライアル申請を提出した後、Alibaba Cloudのエンジニアは、申請に関連する情報を確認するために、提出した連絡先情報に基づいてお客様に連絡します。 申請が承認されると、WAFインスタンスに対してボット管理モジュールが自動的に有効になります。

    • ボット管理モジュールの有効化

      1. [ボットトラフィック分析]シナリオベースの保護 、または 基本的な保護 タブで、[今すぐ購入] をクリックします。

      2. 表示された購入ページで、ボット管理-Webアプリケーション保護またはボット管理-アプリ保護パラメーターを有効に設定し、支払いを完了します。

        説明
        • webアプリケーション保護のボット管理を有効にした後、webサイトの基本的な保護ルールとアンチクローラールールを設定できます。

        • アプリ保護のボット管理を有効にした後、アプリの基本保護ルールとアンチクローラールールを設定できます。

        • 基本的な保護ルール、webサイトのアンチクローラールール、およびアプリのアンチクローラールールを設定する場合は、webアプリケーション保護のためのボット管理アプリ保護のためのボット管理の両方を有効にします。

ボット管理モジュールを有効にした後、[ボットトラフィック分析] タブでシナリオ固有の保護ルールを設定できます。 シナリオ固有の保護ルールを設定するには、ページの [保護されたオブジェクトのボットトラフィック分析] セクションに移動し、保護するWebサイトまたはアプリのドメイン名を見つけて、[操作] 列の [保護の設定] をクリックします。 詳細については、「Webサイトのアンチクローラールールの作成」および「アプリのアンチクローラールールの作成」をご参照ください。

低レベルのクローラーに対して防御するための基本的な保護ルールを設定する場合は、基本的な保護 タブに移動します。 詳細については、「基本保護ルールの作成」をご参照ください。

Webサイトのアンチクローラールールの作成

WAFを使用して、webページ、HTML5ページ、またはHTML5アプリのボットトラフィックによって引き起こされるセキュリティの脅威を軽減する場合は、保護テンプレートを作成し、webサイトのアンチクローラールールを設定することをお勧めします。

説明
  • クライアントからのリクエストが、Actionパラメーターが [JavaScript検証の実行] または スライダー に設定されている保護ルールと一致する場合、WAFはクライアントでJavaScript検証またはスライダーCAPTCHA検証を実行します。 クライアントが検証または検証に合格した場合、WAFはacw_sc__v2またはacw_sc__v3 cookieをリクエストのヘッダーに追加し、クライアントが検証または検証に合格したことを示します。

  • ボット管理モジュールにシナリオ固有の保護テンプルを設定し、Web SDK機能の自動統合を有効にすると、WAFはssxmod_itnassxmod_itna2、およびssxmod_itna3 CookieをHTTPリクエストヘッダーに追加します。 クッキーは、クライアント上のブラウザに関する指紋情報を取得するために使用される。 フィンガープリント情報には、HTTPリクエストのホストフィールドと、ブラウザウィンドウの高さと幅が含まれます。

  1. WAF 3.0コンソールにログインします。 上部のナビゲーションバーで、WAFインスタンスのリソースグループとリージョンを選択します。 中国本土 または 中国本土以外 を選択できます。

  2. 左側のナビゲーションウィンドウで、保護設定 > BOT 管理 を選択します。

  3. シナリオベースの保護 タブで、テンプレートの作成 をクリックします。

  4. シナリオの設定 ステップで、パラメーターを設定し、次へ をクリックします。 下表に、各パラメーターを説明します。

    パラメーター

    説明

    テンプレート名

    テンプレートの名前を入力します。

    テンプレートの名前は1 ~ 255文字で、英数字、ピリオド (.) 、アンダースコア (_) 、ハイフン (-) を使用できます。

    テンプレートの紹介

    テンプレートの説明を入力します。

    保護ターゲットタイプ

    Web サイト を選択します。 これにより、WAFはwebページ、HTML5ページ、およびHTML5アプリを保護します。

    Web SDK の統合

    自動統合 (推奨)

    WAFは、保護パフォーマンスを向上させ、非互換性の問題を防ぐためにJavaScript用のWeb SDKを提供します。

    自動統合を有効にすると、WAFは保護するWebサイトのHTMLページでSDKを自動的に参照します。 自動統合を有効にすると、SDKはブラウザ情報、プローブ署名、悪意のある動作などの情報を収集します。 機密情報は収集されません。 WAFは、収集した情報に基づいて悪意のあるクローラーを検出およびブロックします。

    別のドメイン名から現在の保護対象オブジェクトにアクセスする場合は、他の保護対象からのオリジン間呼び出し を選択する必要があります。 次に、ドロップダウンリストから中間ドメイン名を選択します。 たとえば、ドメイン名Bからドメイン名Aにアクセスする場合は、他の保護対象からのオリジン間呼び出し を選択し、ドロップダウンリストから [ドメイン名B] を選択する必要があります。

    重要

    Web SDKの自動統合は、Application Load Balancer (ALB) インスタンス、Microservices Engine (MSE) インスタンス、またはWAFに追加されたFunction Computeのwebアプリケーションにバインドされたカスタムドメイン名ではサポートされていません。

    マニュアル統合

    自動統合がサポートされていない場合は、手動統合を使用できます。 SDK リンクを取得 をクリックしてスクリプトを取得し、そのスクリプトを他のスクリプトの上に配置します。 これにより、スクリプトが最初にロードされます。 詳細については、「デプロイ方法」をご参照ください。

    詳細については、「Web SDKをwebアプリケーションに統合する」をご参照ください。

    保護ターゲットの特性

    保護するドメイン名を宛先とするトラフィックを識別する一致条件を追加します。 一致条件を追加するには、一致フィールド、論理演算子、および一致コンテンツを設定する必要があります。 matchフィールドがHTTPリクエストのヘッダーフィールドであることを確認してください。 最大5つの条件を追加できます。 条件は論理積を用いて評価される。 一致フィールドの詳細については、「一致条件」をご参照ください。

  5. 保護ルールの設定 ステップで、パラメーターを設定し、次へ をクリックします。 下表に、各パラメーターを説明します。

    パラメーター

    説明

    リスク特定

    [ビジネスセキュリティ] を選択し、関連情報を入力します。 詳細については、「リスク識別」をご参照ください。

    この機能は、不正検出に基づいて異常な携帯電話番号からのリクエストをブロックするのに役立ちます。 ルールヒットに基づいて課金されます。

    合法的ボット管理

    スパイダーのホワイトリスト を選択します。 次に、ドロップダウンリストから検索エンジンを選択します。

    スパイダーホワイトリストを選択し、ドロップダウンリストから検索エンジンを選択すると、検索エンジンのクローラIPアドレスから送信されたリクエストが配信元サーバーに送信されます。 ボット管理モジュールは、これらの要求をもはやチェックしない。

    ボット特性の認識

    スクリプトベースのボットブロック (JavaScript検証)

    スクリプトベースのボットブロック (JavaScript検証) を選択した場合、WAFはクライアントでJavaScript検証を実行します。 単純なスクリプトベースの攻撃を防ぐために、WAFはJavaScriptを実行できないブラウザ以外のツールからのリクエストをブロックします。

    高度なボット保護 (ダイナミックトークン検証)

    [Advanced Bot Protection (Dynamic Token-based Authentication)] を選択した場合、WAFは各リクエストの署名を検証します。 署名検証に失敗したリクエストはブロックされます。 有効な値:

    • 署名検証の例外: このオプションは必須です。 署名を含まないリクエストまたは無効な署名を含むリクエストはブロックされます。

    • 署名タイムスタンプの例外: 異常な署名タイムスタンプを含むリクエストはブロックされます。

    • WebDriver 攻撃: WebDriver攻撃が発生すると、リクエストはブロックされます。

    ボット行為認識

    AI インテリジェント保護

    AI インテリジェント保護 を選択した場合、検出されたボット要求に対してWAFに実行させるアクションとして、観察スライダー 、または [タグの追加] を選択する必要があります。 [タグの追加] を選択した場合、[ヘッダー名] および [ヘッダーコンテンツ] パラメーターを設定する必要があります。

    [インテリジェント保護] を選択すると、インテリジェント保護エンジンはアクセストラフィックを分析し、機械学習を実行します。 そして、解析結果と学習したパターンとに基づいてブラックリストや保護ルールを生成する。

    カスタム速度制限

    カスタムスロットリング条件を設定して、頻繁に開始されるクローラー要求を除外できます。 これにより、HTTPフラッド攻撃を防ぐことができます。

    • IP 速度制限 (デフォルト)

      IPアドレスのスロットリング条件を設定できます。 統計期間 (秒) パラメーターの値内で同じIPアドレスから送信されたリクエストの数が しきい値 (回) パラメーターの値を超える場合、WAFは後続のリクエストに対して指定されたアクションを実行します。 アクション ドロップダウンリストから 観察スライダー 、または ブロック を選択して、WAFで実行するアクションを指定できます。 速度制限期間 (秒) パラメーターを設定して、指定したアクションが実行される期間を指定することもできます。 最大3つの条件を追加できます。 条件は、論理ORを使用することによって評価される。

    • カスタムセッション速度制限

      セッションのスロットリング条件を設定できます。 セッションタイプ パラメーターを設定して、セッションタイプを指定できます。 統計期間 (秒) パラメーターの値内の同じセッションタイプのリクエストの数が しきい値 (回) パラメーターの値を超える場合、WAFは後続のリクエストに対して指定されたアクションを実行します。 アクション ドロップダウンリストから 観察スライダー 、または ブロック を選択して、WAFで実行するアクションを指定できます。 速度制限期間 (秒) パラメーターを設定して、指定したアクションが実行される期間を指定することもできます。 最大3つの条件を追加できます。 条件は、論理ORを使用することによって評価される。

      セッションタイプ パラメーターの有効な値は、カスタムヘッダカスタムパラメータカスタム Cookie 、および セッション です。

    ボット脅威情報

    クローラー脅威情報ライブラリ

    ライブラリには、Alibaba Cloudユーザーからコンテンツをクロールするために多数のリクエストを送信した攻撃者のIPアドレスが含まれています。 ボット脅威インテリジェンスライブラリを選択した場合は、観察スライダー 、または [タグの追加] を、WAFでリクエストに対して実行するアクションとして選択できます。 [タグの追加] を選択した場合、[ヘッダー名] および [ヘッダーコンテンツ] パラメーターを設定する必要があります。

    IDC ブラックリスト

    [Data Center Blacklist] を選択すると、選択したIPアドレスライブラリのIPアドレスから送信されるリクエストがブロックされます。 WAFでリクエストに対して実行するアクションとして、観察スライダーブロック 、または [タグの追加] を選択できます。 [タグの追加] を選択した場合、[ヘッダー名] および [ヘッダーコンテンツ] パラメーターを設定する必要があります。

    説明

    パブリッククラウドまたはデータセンターの送信元IPアドレスを使用して保護するWebサイトにアクセスする場合は、そのIPアドレスをホワイトリストに追加する必要があります。 たとえば、AlipayまたはWeChatのコールバックIPアドレスとモニタリングアプリケーションのIPアドレスをホワイトリストに追加する必要があります。

    偽のクモ

    この機能を有効にすると、User-Agentヘッダーフィールドが [正当なボット管理] セクションで指定されたすべての検索エンジンのユーザーエージェントと一致するリクエストに対して、WAFは ブロック または [タグの追加] アクションを実行します。 指定された検索エンジンの有効なIPアドレスからリクエストが送信された場合、リクエストは許可されます。

  6. 有効範囲 ステップで、パラメーターを設定し、次へ をクリックします。 下表に、各パラメーターを説明します。

    パラメーター

    説明

    有効対象

    [選択するオブジェクト] セクションで保護テンプレートを適用する保護オブジェクトまたは保護オブジェクトグループを選択し、[移入] アイコンをクリックして、保護オブジェクトまたは保護オブジェクトグループを 選択した対象 セクションに移動します。

    有効時間とカナリアリリース

    保護ルールの有効期間を指定し、カナリアリリース設定を構成する必要があります。 有効期間を指定しない場合、またはカナリアリリース設定を構成しない場合、ルールのカナリアリリースは無効になり、ルールは完全に有効になります。

    1. 設定を変更するルールを見つけ、[操作] 列の [編集] をクリックします。

    2. カナリアリリース設定を構成し、有効期間を指定します。

      • カナリアリリース: カナリアリリースをオンにすると、特定の割合のオブジェクトにルールを適用できます。

        カナリアリリースをオンにする場合は、ディメンションカナリアリリース率パラメーターを設定する必要があります。 Dimensionパラメーターの有効な値: IP AddressCustom HeaderCustom HeaderCustom CookieSession

      • 有効モード

        • Permanently Effective (デフォルト): [Permanently Effective] を選択すると、保護ルールは永続的に有効になります。

        • 固定スケジュール: テンプレートを有効にするタイムゾーンと期間を指定できます。

        • 定期スケジュール: タイムゾーン、曜日、および1日の期間を指定できます。 テンプレートは、同じ曜日の1日の同じ期間に有効です。

    複数のルールを選択して有効期間を指定し、同時にルールのカナリアリリース設定を構成できます。

  7. 保護効果検証ステップで、アンチクローラールールをテストします。

    不適切なルール設定または互換性の問題によって引き起こされる誤検知を防ぐために、アンチクローラールールを公開する前にルールの保護効果を確認することを推奨します。設定が正しい場合は、スキップ をクリックします。

    テストステップ:

    1. ステップ 1: パブリック IP アドレスを入力

      テストデバイスのパブリックIPアドレスを入力します。 試験装置は、コンピュータまたは携帯電話であり得る。 テストは、パブリックIPアドレスに対してのみ有効になります。 テストはビジネスには影響しません。

      重要

      ipconfigコマンドを実行して取得したIPアドレスを入力しないでください。 このコマンドはプライベートIPアドレスを返します。 テストデバイスのパブリックIPアドレスがわからない場合は、オンラインIPルックアップツールを使用してパブリックIPアドレスを照会できます。

    2. ステップ 2: アクションを選択

      保護ルールの設定 ステップで指定したアクションの有効性をテストします。 WAFは、指定されたIPアドレスに対してのみテストルールを生成します。 アクションには、JavaScript 検証ダイナミックトークン検証スライダー検証ブロック検証が含まれます。

      アクションの テスト をクリックすると、WAFはすぐにテストルールを生成し、テストデバイスにテストリクエストを送信します。 表示されるダイアログボックスで、WAFはテスト手順、期待される結果、およびデモを提供します。 ダイアログボックスの情報を注意深く読むことをお勧めします。

      テストが完了したら、テスト完了 をクリックして次のステップに進みます。 テスト結果に例外が表示されている場合は、戻る をクリックして、FAQに記載されている手順に基づいてアンチクローラールールを最適化します。 次に、もう一度テストを実行します。

デフォルトでは、新しく作成されたテンプレートが有効になります。 シナリオベースの保護 タブでは、次の操作を実行できます。

  • テンプレートカードをクリックして、テンプレートに関するルール情報を表示します。

  • テンプレートを複製編集、または削除します。

  • テンプレートを有効または無効にするには、スイッチをオンまたはオフにします。

  • テンプレートの [アクション] および [保護対象 / グループ] パラメーターの設定を表示します。

アプリのアンチクローラールールの作成

ネイティブのiOSまたはAndroidアプリのアンチクローラールールを設定して、サービスをクローラーから保護することができます。 HTML5アプリはiOSやAndroidのネイティブアプリではありません。

説明

クライアントからのリクエストが、Actionパラメーターが [JavaScript検証の実行] または スライダー に設定されている保護ルールと一致する場合、WAFはクライアントでJavaScript検証またはスライダーCAPTCHA検証を実行します。 クライアントが検証または検証に合格した場合、WAFはacw_sc__v2またはacw_sc__v3 cookieをリクエストのヘッダーに追加し、クライアントが検証または検証に合格したことを示します。

  1. WAF 3.0コンソールにログインします。 上部のナビゲーションバーで、WAFインスタンスのリソースグループとリージョンを選択します。 中国本土 または 中国本土以外 を選択できます。

  2. 左側のナビゲーションウィンドウで、保護設定 > BOT 管理 を選択します。

  3. シナリオベースの保護 タブで、[テンプレートの作成] をクリックします。

  4. シナリオの設定 ステップで、パラメーターを設定し、次へ をクリックします。 下表に、各パラメーターを説明します。

    パラメーター

    説明

    テンプレート名

    テンプレートの名前を入力します。

    テンプレートの名前は1 ~ 255文字で、英数字、ピリオド (.) 、アンダースコア (_) 、ハイフン (-) を使用できます。

    テンプレートの紹介

    テンプレートの説明を入力します。

    保護ターゲットタイプ

    APP を選択して、ネイティブiOSおよびAndroidアプリのアンチクローラールールを設定します。 HTML5アプリは除外されます。

    APP SDK 統合

    WAFは、AndroidおよびiOSネイティブアプリの保護機能を強化するためのAnti-Bot SDKを提供しています。 Anti-Bot SDKがアプリに統合された後、Anti-Bot SDKはクライアントの特性を収集し、リクエストにセキュリティ署名を生成します。 WAFは、シグネチャに基づいて安全でないと識別されたリクエストを識別およびブロックします。

    Anti-Bot SDKを統合するには、次の手順を実行します。

    1. iOSアプリ用のSDKを取得します。 SDKを取得するには、チケット

    2. AppKey の取得と複製 をクリックしてSDK初期化リクエストを送信します。

    3. Anti-Bot SDKをアプリに統合します。 詳細については、「Anti-Bot SDKをiOSアプリに統合する」をご参照ください。

    保護ターゲットの特性

    保護するドメイン名を宛先とするトラフィックを識別する一致条件を追加します。 一致条件を追加するには、一致フィールド、論理演算子、および一致コンテンツを設定する必要があります。 matchフィールドがHTTPリクエストのヘッダーフィールドであることを確認してください。 最大5つの条件を追加できます。 条件は論理積を用いて評価される。 一致フィールドの詳細については、「一致条件」をご参照ください。

  5. 保護ルールの設定 ステップで、パラメーターを設定し、次へ をクリックします。 下表に、各パラメーターを説明します。

    パラメーター

    説明

    リスク特定

    [ビジネスセキュリティ] を選択し、関連情報を入力します。 詳細については、「リスク識別」をご参照ください。

    この機能は、不正検出に基づいて異常な携帯電話番号からのリクエストをブロックするのに役立ちます。 ルールヒットに基づいて課金されます。

    ボット特性の認識

    • 検出ルール

      アプリ署名異常 (デフォルトで選択)

      デフォルトでは、このオプションは選択されており、選択解除できません。 Anti-Bot SDKの統合後、WAFは無効なシグネチャを含むリクエスト、またはシグネチャを含まないリクエストを検出できます。

      カスタム署名フィールド (デフォルトで選択解除)

      カスタム署名フィールドを選択した場合、フィールド名 パラメーターを設定する必要があります。 ドロップダウンリストからCookieパラメータ、またはヘッダを選択できます。 次に、valueパラメーターにカスタム値を入力します。 署名するリクエストの本文が空の場合、特殊文字が含まれている場合、または長さの制限を超えている場合は、署名をハッシュし、Valueパラメーターに返された文字列を入力できます。

      デバイス特性の異常

      この機能を有効にすると、WAFは異常な動作を持つデバイスからのリクエストを検出して制御します。 このパラメーターの有効な値には、期限切れの署名エミュレーターの使用プロキシの使用ルートデバイスデバッグモードフッキングマルチボクシングシミュレーションの実行スクリプトツール などがあります。

    • 保護アクション

      観察ブロック 、または 厳密なスライダー を、以下の ボット特性の認識 のルールに一致するリクエストに対してWAFで実行するアクションとして選択できます。

    • 高度な保護

      高度保護 をクリックし、次のパラメーターを設定します。

      リパッケージング攻撃の検出

      • ルール設定

        パッケージ名またはパッケージ署名がホワイトリストにないアプリから送信されたリクエストは、再パッケージ化リクエストと見なされます。 有効なアプリパッケージを指定します。

        • 正しいパッケージ名: 有効なアプリパッケージ名を入力します。 例: example.aliyundoc.com

        • 署名: 検証が必要なアプリパッケージの署名を指定します。 署名を検証する必要がある場合は、チケット パッケージ署名を検証する必要がない場合は、このパラメーターを空のままにします。 パラメーターが空の場合、WAFはパッケージ名のみを検証します。

        • 重要

          署名パラメーターの値は、アプリの証明書署名ではありません。

        最大5つの有効なiOSまたはAndroidアプリパッケージを追加できます。 パッケージ名は一意である必要があります。 条件間の論理演算子はORです。

      • 保護アクション

        以下で指定されたルールに一致するリクエストに対してWAFを実行するアクションとして、観察ブロックスライダー 、または 厳密なスライダー を選択できます。[リパック検出]

      カスタム機能ポリシー

      デフォルト設定が保護要件を満たさない場合は、カスタムルールを設定できます。 カスタムルールを設定するには、カスタム機能ポリシー を選択し、ルールの作成 をクリックして、次のパラメーターを設定します。

      • 一致条件: 最大5つの一致条件を追加できます。 条件は論理積を用いて評価される。

        をクリックして、サポートされている一致フィールドを表示します。

        eid_is_root: デバイスにルート権限があるかどうかを指定します。

        eid_is_proxy: デバイスがプロキシかどうかを指定します。

        eid_is_simulator: デバイスがシミュレータかどうかを指定します。

        eid_is_debugged: デバッグモードを使用するかどうかを指定します。

        eid_is_hook: フック技術を使用するかどうかを指定します。

        eid_is_virtual: 複数のアプリプロセスがデバイスで同時に実行されているかどうかを指定します。

        eid_is_new: デバイスが新しいデバイスかどうかを指定します。

        eid_is_wiped: デバイスがブラッシングの疑いがあるかどうかを指定します。

        eid_short_uptime: 起動時間が短すぎるかどうかを指定します。

        eid_abnormalal_time: システム時刻が異常かどうかを指定します。

        eid_running_frame_xposed: Xposedを使用するかどうかを指定します。

        eid_running_frame_frida: Fridaを使用するかどうかを指定します。

        eid_running_frame_cydia: Cydiaを使用するかどうかを指定します。

        eid_running_frame_fishhook: fishhookを使用するかどうかを指定します。

        eid_running_frame_va: VA Frameworkを使用するかどうかを指定します。

        eid_running_frame_magisk: Magiskを使用するかどうかを指定します。

        eid_running_frame_edxposed: EdXposedを使用するかどうかを指定します。

        eid_umid: UMIDを使用するかどうかを指定します。

        appname: アプリケーション名を指定します。

        packagename: パッケージ名を指定します。

        appversion: アプリのバージョンを指定します。

        version: SDKのバージョンを指定します。

        brand: 携帯電話のブランドを指定します。

        model: 携帯電話のモデルを指定します。

        product: 製品コードを指定します。

        manufacture: 携帯電話メーカーを指定します。

        hardware: ハードウェア名を指定します。

      • アクション: ルールに一致するリクエストに対してWAFを実行するアクションとして、観察ブロックスライダー厳密なスライダー 、または [タグの追加] を選択できます。 [タグの追加] を選択した場合、[ヘッダー名] および [ヘッダーコンテンツ] パラメーターを設定する必要があります。

      最大10個のカスタムルールを追加できます。 ルールは、論理ORを使用することによって評価される。

    ボット行為認識

    AI インテリジェント保護 を選択した場合、検出されたボット要求に対してWAFに実行させるアクションとして、観察スライダー厳密なスライダー 、または [Add Tag] を選択する必要があります。 [タグの追加] を選択した場合、[ヘッダー名] および [ヘッダーコンテンツ] パラメーターを設定する必要があります。

    [インテリジェント保護] を選択すると、インテリジェント保護エンジンはアクセストラフィックを分析し、機械学習を実行します。 そして、解析結果と学習したパターンとに基づいてブラックリストや保護ルールを生成する。

    速度制限

    カスタムスロットリング条件を設定して、頻繁に開始されるクローラー要求を除外できます。 これにより、HTTPフラッド攻撃を防ぐことができます。

    • IP 速度制限 (デフォルト)

      IPアドレスのスロットリング条件を設定できます。 統計期間 (秒) パラメーターの値内で同じIPアドレスから送信されたリクエストの数が しきい値 (回) パラメーターの値を超える場合、WAFは後続のリクエストに対して指定されたアクションを実行します。 アクション ドロップダウンリストから ブロック観察スライダー 、または 厳密なスライダー を選択して、WAFで実行するアクションを指定できます。 速度制限期間 (秒) パラメーターを設定して、指定したアクションが実行される期間を指定することもできます。 最大3つの条件を追加できます。 条件は、論理ORを使用することによって評価される。

    • デバイスの速度制限

      デバイスのスロットリング条件を設定できます。 統計期間 (秒) パラメーターの値内で同じデバイスから送信されたリクエストの数が しきい値 (回) パラメーターの値を超える場合、WAFは後続のリクエストに対して指定されたアクションを実行します。 アクション ドロップダウンリストから ブロック観察スライダー 、または 厳密なスライダー を選択して、WAFで実行するアクションを指定できます。 速度制限期間 (秒) パラメーターを設定して、指定したアクションが実行される期間を指定することもできます。 最大3つの条件を追加できます。 条件は、論理ORを使用することによって評価される。

    • カスタムセッション速度制限

      セッションのスロットリング条件を設定できます。 セッションタイプ パラメーターを設定して、セッションタイプを指定できます。 統計期間 (秒) パラメーターの値内の同じセッションタイプのリクエストの数が しきい値 (回) パラメーターの値を超える場合、WAFは後続のリクエストに対して指定されたアクションを実行します。 アクション ドロップダウンリストから ブロック観察スライダー 、または 厳密なスライダー を選択して、WAFで実行するアクションを指定できます。 速度制限期間 (秒) パラメーターを設定して、指定したアクションが実行される期間を指定することもできます。 最大3つの条件を追加できます。 条件は、論理ORを使用することによって評価される。

      セッションタイプ パラメーターの有効な値は、カスタムヘッダカスタムパラメータカスタム Cookie 、および セッション です。

    ボット脅威情報

    クローラー脅威情報ライブラリ

    ライブラリには、Alibaba Cloudユーザーからコンテンツをクロールするために複数のリクエストを送信した攻撃者のIPアドレスが含まれています。 ボット脅威インテリジェンスライブラリを選択した場合は、観察スライダー厳密なスライダー 、または [タグの追加] を選択して、WAFでリクエストに対して実行するアクションを選択します。 [タグの追加] を選択した場合、[ヘッダー名] および [ヘッダーコンテンツ] パラメーターを設定する必要があります。

    IDC ブラックリスト

    [Data Center Blacklist] を選択すると、選択したデータセンターのIPアドレスライブラリのIPアドレスから送信されるリクエストがブロックされます。 WAFでリクエストに対して実行するアクションとして、観察スライダーブロック厳密なスライダー 、または [タグの追加] を選択できます。 [タグの追加] を選択した場合、[ヘッダー名] および [ヘッダーコンテンツ] パラメーターを設定する必要があります。

    説明

    パブリッククラウドまたはデータセンターの送信元IPアドレスを使用して保護するWebサイトにアクセスする場合は、そのIPアドレスをホワイトリストに追加する必要があります。 たとえば、AlipayまたはWeChatのコールバックIPアドレスとモニタリングアプリケーションのIPアドレスをホワイトリストに追加する必要があります。

  6. 有効範囲 ステップで、パラメーターを設定し、次へ をクリックします。 下表に、各パラメーターを説明します。

    パラメーター

    説明

    有効対象

    [選択するオブジェクト] セクションで保護テンプレートを適用する保護オブジェクトまたは保護オブジェクトグループを選択し、[移入] アイコンをクリックして、保護オブジェクトまたは保護オブジェクトグループを 選択した対象 セクションに移動します。

    有効時間とカナリアリリース

    保護ルールの有効期間を指定し、カナリアリリース設定を構成する必要があります。 有効期間を指定しない場合、またはカナリアリリース設定を構成しない場合、ルールのカナリアリリースは無効になり、ルールは完全に有効になります。

    1. 設定を変更するルールを見つけ、[操作] 列の [編集] をクリックします。

    2. カナリアリリース設定を構成し、有効期間を指定します。

      • カナリアリリース: カナリアリリースをオンにすると、特定の割合のオブジェクトにルールを適用できます。

        カナリアリリースをオンにする場合は、ディメンションカナリアリリース率パラメーターを設定する必要があります。 Dimensionパラメーターの有効な値: IP AddressCustom HeaderCustom HeaderCustom CookieSession

      • 有効モード

        • Permanently Effective (デフォルト): [Permanently Effective] を選択すると、保護ルールは永続的に有効になります。

        • 固定スケジュール: テンプレートを有効にするタイムゾーンと期間を指定できます。

        • 定期スケジュール: タイムゾーン、曜日、および1日の期間を指定できます。 テンプレートは、同じ曜日の1日の同じ期間に有効です。

    複数のルールを選択して有効期間を指定し、同時にルールのカナリアリリース設定を構成できます。

  7. 保護効果検証ステップで、アンチクローラールールをテストします。

    不適切なルール設定または互換性の問題によって引き起こされる誤検知を防ぐために、アンチクローラールールを公開する前にルールの保護効果を確認することを推奨します。設定が正しい場合は、スキップ をクリックします。

    テストステップ:

    1. ステップ 1: パブリック IP アドレスを入力

      テストデバイスのパブリックIPアドレスを入力します。 試験装置は、コンピュータまたは携帯電話であり得る。 テストは、パブリックIPアドレスに対してのみ有効になります。 テストはビジネスには影響しません。

      重要

      ipconfigコマンドを実行して取得したIPアドレスを入力しないでください。 このコマンドはプライベートIPアドレスを返します。 テストデバイスのパブリックIPアドレスがわからない場合は、オンラインIPルックアップツールを使用してパブリックIPアドレスを照会できます。

    2. ステップ 2: アクションを選択

      保護ルールの設定 ステップで指定したアクションの有効性をテストします。 WAFは、指定されたIPアドレスに対してのみテストルールを生成します。 アクションには、ブロック検証SDK 署名の検証が含まれます。

      アクションの テスト をクリックすると、WAFはすぐにテストルールを生成し、テストデバイスにテストリクエストを送信します。 表示されるダイアログボックスで、WAFはテスト手順、期待される結果、およびデモを提供します。 ダイアログボックスの情報を注意深く読むことをお勧めします。

      テストが完了したら、テスト完了 をクリックして次のステップに進みます。 テスト結果に例外が表示されている場合は、戻る をクリックして、FAQに記載されている手順に基づいてアンチクローラールールを最適化します。 次に、もう一度テストを実行します。

デフォルトでは、新しく作成されたテンプレートが有効になります。 シナリオベースの保護 タブでは、次の操作を実行できます。

  • テンプレートカードをクリックして、テンプレートに関するルール情報を表示します。

  • テンプレートを複製編集、または削除します。

  • テンプレートを有効または無効にするには、スイッチをオンまたはオフにします。

  • テンプレートの [アクション] および [保護対象 / グループ] パラメーターの設定を表示します。

基本的な保護ルールの作成

基本的な保護ルールを設定して、サービスの中レベルおよび低レベルのクローラーに対して防御できます。 ボット管理モジュールは、デフォルトの基本保護ルールテンプレートを提供しません。 ボット管理モジュールによって提供される基本的な保護機能を有効にする前に、基本的な保護ルールテンプレートを作成する必要があります。

  1. WAF 3.0コンソールにログインします。 上部のナビゲーションバーで、WAFインスタンスのリソースグループとリージョンを選択します。 中国本土 または 中国本土以外 を選択できます。

  2. 左側のナビゲーションウィンドウで、保護設定 > BOT 管理 を選択します。

  3. ベーシック保護 タブで、テンプレートの作成 をクリックします。

  4. [テンプレートの作成-ボット管理] パネルでパラメーターを設定し、OK をクリックします。 下表に、各パラメーターを説明します。

    パラメーター

    説明

    テンプレート名

    テンプレートの名前を入力します。

    テンプレートの名前は1 ~ 255文字で、英数字、ピリオド (.) 、アンダースコア (_) 、ハイフン (-) を使用できます。

    テンプレートの紹介

    テンプレートの説明を入力します。

    アクション

    ルールに一致するリクエストに対してWAFで実行するアクションを指定します。 有効な値: ブロックおよびモニター

    詳細設定

    • カナリアリリース: カナリアリリースをオンにすると、特定の割合のオブジェクトにルールを適用できます。

      カナリアリリースをオンにする場合は、ディメンションカナリアリリース率パラメーターを設定する必要があります。 Dimensionパラメーターの有効な値: IP AddressCustom HeaderCustom HeaderCustom CookieSession

    • 有効モード

      • Permanently Effective (デフォルト): [Permanently Effective] を選択すると、保護ルールは永続的に有効になります。

      • 固定スケジュール: テンプレートを有効にするタイムゾーンと期間を指定できます。

      • 定期スケジュール: タイムゾーン、曜日、および1日の期間を指定できます。 テンプレートは、同じ曜日の1日の同じ期間に有効です。

    有効対象

    テンプレートを適用する保護オブジェクトと保護オブジェクトグループを選択します。

    保護対象オブジェクトまたは保護対象オブジェクトグループに適用できる保護モジュールのテンプレートは1つだけです。 保護オブジェクトの追加と保護オブジェクトグループの作成方法の詳細については、「保護オブジェクトと保護オブジェクトグループの設定」をご参照ください。

デフォルトでは、新しく作成されたテンプレートが有効になります。 ベーシック保護 タブでは、次の操作を実行できます。

  • テンプレートに含まれるルールのIDを表示します。

    説明

    基本的な保護テンプレートには、2つのホワイトリストルールと1つのアクセス制御またはHTTPフラッド保護ルールが含まれます。 ルールIDを使用して、[セキュリティレポート] ページでルールの保護パフォーマンスを表示できます。 詳細については、「セキュリティレポート」をご参照ください。

  • テンプレートを複製編集、または削除します。

  • テンプレートを有効または無効にするには、スイッチをオンまたはオフにします。

  • テンプレートの [アクション] および [保護対象 / グループ] パラメーターの設定を表示します。

よくある質問

保護効果検証 でエラーが発生した場合は、次の表を参照してエラーを修正してください。

エラー

原因

解決策

有効なテスト要求は検出されません。 考えられる原因を特定するには、WAFドキュメントを参照するか、お問い合わせください。

テストリクエストの送信に失敗したか、WAFに送信されません。

WAFが提供するCNAMEをマップするIPアドレスにテストリクエストが送信されていることを確認します。

テストリクエストのヘッダーフィールドは、アンチクローラールールの保護ターゲットの特性パラメーターに設定したヘッダーフィールドと一致しません。

アンチクローラールールのTraffic Characteristicsパラメーターを変更します。

テストリクエストの送信元IPアドレスは、アンチクローラールールで指定したパブリックIPアドレスとは異なります。

正しいパブリックIPアドレスを使用していることを確認してください。 推奨する使用例 パブリックIPアドレスを取得するAlibaba Network Diagnose Tool

テスト要求が検証に失敗しました。 考えられる原因を特定するには、WAFドキュメントを参照するか、お問い合わせください。

実際のユーザーアクセスはシミュレートされません。 たとえば、デバッグモードまたは自動化ツールが使用されます。

テスト中に実際のユーザーをシミュレートして、Webサイトまたはアプリにアクセスします。

誤ったサービスタイプが選択されています。 たとえば、アプリのアンチクローラールールを設定すると、Web サイト が選択されます。

Service Typeパラメーターの値を変更します。

中間ドメイン名が使用されますが、アンチクローラールールで誤った中間ドメイン名が選択されます。

他の保護対象からのオリジン間呼び出し を選択します。 次に、ドロップダウンリストから正しい中間ドメイン名を選択します。

互換性の問題はフロントエンドで発生します。

を送信するチケットお問い合わせください。

検証はトリガーされません。 考えられる原因を特定するには、WAFドキュメントを参照するか、お問い合わせください。

テストルールは生成されません。

テストルールが生成されるまで、テストを数回実行します。

有効なテスト要求は検出またはブロックされません。 考えられる原因を特定するには、WAFドキュメントを参照するか、お問い合わせください。

テストリクエストの送信に失敗したか、WAFに送信されません。

WAFが提供するCNAMEをマップするIPアドレスにテストリクエストが送信されていることを確認します。

テストリクエストのヘッダーフィールドは、アンチクローラールールのトラフィック特性パラメーターに設定したヘッダーフィールドと一致しません。

アンチクローラールールのTraffic Characteristicsパラメーターを変更します。

テストリクエストの送信元IPアドレスは、アンチクローラールールで指定したパブリックIPアドレスとは異なります。

正しいパブリックIPアドレスを使用していることを確認してください。 推奨する使用例 パブリックIPアドレスを取得するAlibaba Network Diagnose Tool

次のステップ

[セキュリティレポート] ページで、構成した保護ルールの保護の詳細を照会できます。 詳細については、「セキュリティレポート」をご参照ください。