配置App防爬情境化規則 -

Web Application Firewall（Web Application Firewall，簡稱WAF）針對Bot管理模組升級，提供防爬情境化配置功能。您可以基於實際業務情境定製防爬規則，更有針對性地對業務進行爬蟲風險防護。本文指導您針對App的情境配置防爬情境化規則。

背景資訊

防爬情境化配置功能支援基於不同業務情境定製防爬規則，結合智能演算法，精準識別爬蟲流量，並對命中規則的爬蟲行為自動處置。同時，在定製情境化防爬規則後，您可以在測試環境中對防爬規則進行應用前的驗證，避免因規則配置不合理或防護相容性問題，對您的網站或App業務產生誤攔截或防護效果低等不利影響。

前提條件

訂用帳戶執行個體：已開通進階版、企業版、旗艦版的Bot管理增值服務。
已完成網站接入。具體操作，請參見使用教程。
需要防護的App已整合Web Application FirewallSDK。詳細內容，請參見整合SDK。

添加網頁/瀏覽器情境

登入Web Application Firewall控制台。
在頂部功能表列，選擇Web Application Firewall執行個體的資源群組和地區（中國內地、非中國內地）。
在左側導覽列，選擇防護配置 > 網站防護。
在網站防護頁面上方，切換到要設定的網域名稱。
如果您沒有建立過防爬情境化規劃，單擊Bot管理頁簽，在情境化配置模組單擊點我開始，建立您的第一條防爬情境化規則。如果您已建立過防爬情境化規則，在Bot管理頁簽右上方單擊添加，建立更多的防爬情境化規則。
說明每個網域名稱最多可添加50條情境化配置規則。

在防護情境定義設定精靈頁面，設定防爬保護目標的基礎資訊，並單擊下一步。

配置項	說明
防護業務情境	填寫該防爬規則防護的業務情境類型。常見情境例如：登入、註冊、下單等。
防護目標類型	選擇App，表示對使用iOS和Android系統開發的原生App進行防護。說明 App中使用的H5頁面不屬於此類防護目標。如果您需要對App中使用的H5頁面進行防爬情境化防護，防護目標類型需要選擇網頁/瀏覽器。
防護目標特徵	添加目標流量的HTTP請求欄位及其規則，即訪問該防護目標時，HTTP請求報文中產生的有關該防護業務情境的欄位內容。有關欄位的詳細內容，請參見匹配條件欄位說明。最多可以添加5個條件。重要輸入IP地址後需要按斷行符號。

在防護規則推薦嚮導頁面，設定防爬情境規則的詳細內容，並單擊下一步。

配置項	說明
App簽名異常	對使用未攜帶簽名或簽名非法的App訪問防爬防護目標的請求進行檢測和管控。此項不支援關閉，您可以在下方設定防護動作，對App簽名異常的流量進行相應的處置。設定為觀察模式，防爬規則會允許存取命中流量並將流量記錄在安全報表和Log Service中；設定為攔截模式，防爬規則會對命中流量進行攔截。
裝置特徵異常	啟用此項後，防爬規則會對具有異常特徵的裝置發起的請求進行檢測和管控。裝置的異常特徵包括：使用模擬器：表示裝置上使用了模擬器。使用代理：表示裝置上使用了代理服務。 Root裝置：表示裝置開放了Root許可權。偵錯模式：表示裝置開啟了偵錯模式。 App被hook：表示裝置上存在`hook`程式。 App多開：表示裝置上同時開啟了多個被防護App的進程。您可根據需要將規則設定為觀察或攔截。
防護動作	支援觀察和攔截兩種處置動作。此項配置針對App簽名異常和裝置特徵異常同時生效。
IP限速	開啟後即可設定訪問頻率限制條件，有針對性地過濾異常請求，有效緩解CC攻擊。您可以自訂IP限速條件來規定在指定的統計時間長度內，來自同一IP地址的訪問次數超過指定閾值時，對該訪問請求執行阻斷或觀察的處置動作，並規定處置動作的生效時間長度。最多可以設定3個條件。相關內容，請參見設定自訂防護策略。
裝置限速	開啟後即可設定訪問頻率限制條件，有針對性地過濾異常請求，有效緩解CC攻擊。您可以自訂終端裝置限速條件來規定在指定的統計時間長度內，來自同一終端裝置的訪問次數超過指定閾值時，對該訪問請求執行阻斷或觀察的處置動作，並規定處置動作的生效時間長度。最多可以設定3個條件。
自訂會話限速	開啟後即可自訂訪問頻率限制條件，有針對性地過濾異常請求，有效緩解CC攻擊。您可以自訂會話限速條件來規定在指定的統計時間長度內，來自同一會話的訪問次數超過指定閾值時，對該訪問請求執行阻斷或觀察的處置動作，並規定處置動作的生效時間長度。最多可以設定3個條件。相關內容，請參見設定自訂防護策略。

可選：在防護動作校正頁面，對防爬防護規則進行效果測試。
本步驟為可選操作，您也可以單擊左下角跳過。建議您先完成防護動作驗證後，再發布策略。
關鍵配置項說明：
- 公網測試IP：填寫您測試裝置（手機）的公網IP。防爬規則將僅針對該公網IP生效，不會對您的業務產生影響。
  重要如果不確定您裝置的公網IP，可以通過本頁面提示資訊中的網路診斷工具或線上IP查詢工具進行查詢。
- SDK簽名驗證：單擊去測試，驗證該App的SDK簽名是否正常。
  說明請務必使用已經整合好App防護SDK的真實裝置進行測試，否則會導致驗證簽名失敗，訪問請求被攔截，無法正常完成測試。
- 測試動作：針對命中規則的訪問請求進行攔截驗證。在測試動作模組上單擊去測試後，WAF會將防護策略即刻下發到測試裝置，同時為您展示測試效果示範圖和說明，建議您仔細閱讀。
  完成測試後，單擊已完成測試進入下一步；如果測試結果異常，可以單擊返回去再準備一下，最佳化防爬規則後重新測試。
  有關測試時出現的異常情況說明和對應的解決方案，請參見防爬策略測試常見問題。
在策略預覽和發布頁面，確認策略的內容，單擊發布。
策略發布後即刻生效。
說明首次建立情境時不會展示規則ID，正式發布防爬情境化規則後，您可以在安全報表頁面的Bot管理頁簽下方，查看規則ID資訊。規則ID可用於Log Service中檢索特定規則的命中情況。

防爬策略測試常見問題

若在防護動作驗證時出現異常情況，可參考表格解決對應問題。

報錯	原因	解決方案
未查詢到任何有效測試請求，您可以查看協助文檔或諮詢我們以分析可能的原因。	實際測試請求沒有發送成功，或者沒有發送到WAF。	確認測試請求已經成功發送到WAF解析的地址。
	實際測試請求的欄位內容與防爬規則中定義的防護目標特徵不一致。	在防爬策略中修改防護目標特徵的內容。
	實際測試請求的源IP與配置策略中填寫的公網測試IP不一致。	請確保您使用的是正確的公網IP，建議直接使用診斷工具查詢您的公網IP地址。
請求未通過校正，您可以查看協助文檔或諮詢我們以分析可能的原因。	沒有類比真實使用者訪問，例如使用了偵錯模式、自動化工具等。	測試時使用用戶端真實類比使用者訪問。
	防護情境選擇錯誤，例如實際需要配置App防爬情境規則，但錯選為網頁/瀏覽器。	在防爬情境化規則中修改防護情境類型。
	訪問請求存在跨域的情況，但在防爬情境化規則中未正確配置。	修改防爬情境化規則，選中防護目標有來自其它網域名稱的跨域調用並從下拉式清單中選擇跨域訪問的來源網域名稱。
	前端相容性問題。	請提交工單，聯絡我們。
請求未觸發校正，您可以查看協助文檔或諮詢我們以分析可能的原因。	測試規則沒有下發完畢。	建議您多測試幾次，等待防爬測試規則下發完成。
未攔截且查詢到任何有效測試請求，您可以查看協助文檔或諮詢我們以分析可能的原因。	實際測試請求沒有發送成功，或者沒有發送到WAF。	確認測試請求已經成功發送到WAF解析的地址。
	實際測試請求的欄位內容與防爬規則中定義的防護目標特徵不一致。	在防爬策略中修改防護目標特徵的內容。
	實際測試請求的源IP與配置策略中填寫的公網測試IP不一致。	請確保您使用的是正確的公網IP，建議直接使用診斷工具查詢您的公網IP地址。