功能介紹

Bot管理為您提供如下功能，盡可能的幫助您快速識別機器流量，防御爬蟲風險，避免您的業務數據被爬取。

• 機器流量分析（無需開通Bot管理）

  無需開通Bot管理，即可查看機器流量分析的風險接口數據，包括指定時間范圍內的機器流量走勢、存在風險的Top20客戶端和Top20 IP、防護對象的機器流量分析數據，幫助您快速識別和定位當前可能存在風險接口。具體操作，請參見查看機器流量分析數據。

  針對有風險的接口，您可以申請試用或立即購買Bot管理，為其配置場景化防護策略。關于如何申請試用、立即購買的具體操作，請參見開通Bot管理。

• 場景化防護（開通Bot管理后支持）

  特定業務場景的精細化防控，通過集成SDK，配置針對網頁和App的場景化防護策略，實現最佳防護效果。具體操作，請參見創建網頁防爬場景化防護規則、創建App防爬場景化防護規則。

  適用對象：對于機器流量敏感的用戶。

• 基礎防護（開通Bot管理后支持）

  基于四層或七層流量指紋識別Bot流量，無需集成SDK，一鍵開啟防護。具體操作，請參見創建基礎防護規則。

  適用對象：希望通過配置盡量簡化的防護策略，攔截中低級爬蟲的用戶。

前提條件

• 已在接入管理頁面完成Web業務接入。具體操作，請參見接入管理概述。

• 如果需要創建App防爬場景化防護模板，請確保要防護的App已集成SDK。具體操作，請參見Android應用集成SDK、iOS應用集成SDK。

查看機器流量分析數據

1. 登錄Web應用防火墻3.0控制臺。在頂部菜單欄，選擇WAF實例的資源組和地域（中國內地、非中國內地）

2. 在左側導航欄，選擇防護配置 > BOT管理

3. 在機器流量分析頁簽，查看指定防護對象在某個時間段的機器流量走勢、Top20客戶端、Top20 IP、防護對象機器流量分析。

開通Bot管理

1. 登錄Web應用防火墻3.0控制臺。在頂部菜單欄，選擇WAF實例的資源組和地域（中國內地、非中國內地）

2. 在左側導航欄，選擇防護配置 > BOT管理

3. 開通Bot管理。

   • 申請試用

     說明

     • 高級版、企業版、旗艦版可免費試用一次Bot管理。

     • 試用時長為試用申請通過后的7天內。試用結束后，如果您未開通正式版本，試用期間生成的分析數據將被立即清除。如果您需要保留試用期間的數據，繼續使用Bot管理，請在試用結束前，開通正式版Bot管理。

     在機器流量分析頁簽，單擊申請試用。按照WAF-Bot管理PoC調查問卷頁面的提示，填寫試用申請信息并單擊提交。

     阿里云工程師在收到試用申請的一周時間內，將通過提交的聯系方式聯系您，與您確認試用相關事宜。試用申請審核通過后，您的WAF實例會自動開通Bot管理功能。

   • 開通正式版Bot管理

     1. 在機器流量分析頁簽，或單擊場景化防護、基礎防護頁簽后，單擊立即購買。

     2. 在立即購買面板，開啟Bot管理-Web防護或Bot管理-APP防護，并完成支付。

        說明

        • 開啟Bot管理-Web防護后，您可以配置Bot管理基礎防護規則、網頁防爬場景化規則。

        • 開啟Bot管理-APP防護后，您可以配置Bot管理基礎防護規則、App防爬場景化規則。

        • 如果您需要同時配置Bot管理基礎防護規則、網頁防爬場景化規則、App防爬場景化規則，您可以同時開啟Bot管理-Web防護和Bot管理-APP防護。

開通Bot管理后，您可以單擊機器流量分析頁簽，在防護對象機器流量分析區域，定位到機器流量較高的風險接口，單擊操作列的添加防護，添加場景化防護策略。具體操作，請參見創建網頁防爬場景化防護規則、創建App防爬場景化防護規則。

如果您配置簡化的防護策略，攔截中低級爬蟲，您可以在基礎防護頁簽，配置Bot管理基礎防護規則。具體操作，請參見創建基礎防護規則。

創建網頁防爬場景化防護規則

如果您的實際業務通過瀏覽器訪問網頁或H5頁面（包括App中使用的H5頁面）等，您可以創建網頁防爬場景化防護模板，自定義防護規則，防御網頁爬蟲。

1. 登錄Web應用防火墻3.0控制臺。在頂部菜單欄，選擇WAF實例的資源組和地域（中國內地、非中國內地）

2. 在左側導航欄，選擇防護配置 > BOT管理

3. 在場景化防護頁簽，單擊新建模板。

4. 在防護場景定義配置向導頁面，完成如下配置后，單擊下一步。

   配置項	說明
   模板名稱	為該模板設置一個名稱。 長度為1~255個字符，支持中文和大小寫英文字母，可包含數字、半角句號（.）、下劃線（_）和短劃線（-）。
   模板介紹	為該模板填寫相關介紹信息。
   防護目標類型	選擇網頁/瀏覽器，表示防護通過瀏覽器訪問的網頁或H5頁面（包括App中使用的H5頁面）等。
   Web SDK集成	自動集成（推薦） 采用基于JavaScript的Web SDK，提升Web瀏覽器場景下的防護效果，避免部分不兼容問題。 開啟該功能后，WAF將自動在防護對象的HTML頁面中引用SDK。采集相關的瀏覽器信息、特定攻防探針、操作行為等（不涉及個人敏感信息）后，WAF將根據獲取的信息請求風險識別和攔截。 如果您從另一個域名發起對當前防護目標的訪問請求，則需在 防護目標有來自其它防護對象的跨域調用的下拉列表中選擇跨域訪問的來源域名。例如，您通過域名B下某頁面調用當前域名A的登錄接口，則需在 防護目標有來自其它防護對象的跨域調用選擇跨域訪問的B域名。 重要 通過ALB、MSE或FC接入WAF的防護對象暫不支持自動集成Web SDK，需要手動集成。 手動集成 若當前環境不適用自動集成，您可以采用手動集成。您可以單擊獲取SDK鏈接，獲取script節點，并將其置于頁面上所有其他script節點之前以保證最先加載。具體操作，請參見部署方式。 更多信息，請參見Web應用集成SDK。
   防護目標特征	添加目標流量的HTTP請求字段及其規則，即訪問該防護目標時，HTTP請求報文中生成的有關該防護業務場景的字段內容。最多可以添加5個條件特征，且各條件之間為與關系。有關字段的詳細內容，請參見匹配條件說明。

5. 在防護規則推薦向導頁面，完成如下配置后，單擊下一步。

   配置項	說明
   風險識別	勾選業務安全策略后，請填寫相關信息。更多詳情，請參見風險識別。 啟用規則后，與風險識別產品融合，配置后可實現針對黃牛等異常手機號的訪問阻斷，根據規則命中情況進行后付費。
   合法Bot管理	勾選搜索引擎蜘蛛白名單后，選擇合法搜索引擎白名單。 啟用規則后，來自相關搜索引擎的合法爬蟲IP將被直接放行，不經過Bot管理模塊的防護檢測。
   Bot特征識別	簡單腳本過濾（JavaScript校驗） 開啟此開關后，對訪問防爬防護目標的客戶端進行JS校驗，過濾不支持JS校驗的來自非瀏覽器類工具的流量，阻斷簡單腳本類攻擊。 高級Bot防御（動態令牌挑戰） 開啟此開關后，對每一次請求數據進行簽名驗證，不能通過驗簽的請求將被攔截。可選項： 簽名驗證異常（必選）：指未攜帶簽名或者簽名非法時，請求將被攔截。 簽名時間戳異常：指簽名時間戳異常時，請求將被攔截。 WebDriver攻擊：指遭遇WebDriver攻擊時，請求將被攔截。
   Bot行為識別	AI智能防護 勾選AI智能防護后，需要設置識別的Bot行為為觀察、滑塊或回源標記。如果設置為回源標記，您還需要設置回源時標記的Header名稱、Header內容。 開啟此開關后，防爬規則會通過AI智能防護引擎對訪問流量進行分析和自動學習，生成針對性的防護規則或黑名單。 自定義限速 開啟此開關后，可自定義訪問頻率限制條件，有針對性地對訪問頻率過高的爬蟲請求進行過濾，有效緩解CC攻擊。 IP限速（默認） 在統計時長（秒）內，來自同一IP地址的訪問次數超過指定閾值（次）時，在限速時間（秒）內，對來自該IP的訪問請求執行觀察、滑塊或攔截的限速動作。最多可以設置3個條件，且條件之間為或關系。 自定義會話限速 在統計時長（秒）內，對指定的會話類型的訪問次數超過指定閾值（次）時，在限速時間（秒）內，對該會話的請求執行觀察、滑塊或攔截的限速動作。最多可以設置3個條件，且條件之間為或關系。 會話類型支持自定義header、自定義參數、自定義cookie、Session。
   Bot威脅情報	爬蟲威脅情報庫 收錄一段時間內在阿里云上對多個用戶有多次惡意爬取行為的攻擊源IP，并對其執行觀察、滑塊或回源標記處置。如果設置為回源標記，您還需要設置回源時標記的Header名稱、Header內容。 IDC黑名單封禁 開啟此開關后，如果攻擊源IP來自選中IP庫，則對其執行觀察、滑塊、攔截或回源標記。如果設置為回源標記，您還需要設置回源時標記的Header名稱、Header內容。 說明 如果您使用公有云或IDC機房的源IP來訪問，請注意加白已知的合法調用，如支付寶或微信的支付回調、監控程序等。 偽造蜘蛛 開啟此開關后，將攔截或回源標記合法Bot管理中所有搜索引擎的User-Agent，已開啟白名單的搜索引擎對應的合法客戶端IP將被放行。

6. 在生效范圍向導頁面，完成如下配置后，單擊下一步。

   配置項	說明
   生效對象	選中需要應用的防護對象或防護對象組，單擊圖標，將該防護對象或防護對象組移入已選擇對象區域內。
   生效時間及規則灰度	您需要為已選擇的防護規則設置規則灰度和生效時間。如果不設置，則規則默認關閉規則灰度，且永久生效。 定位到目標規則，單擊操作列的編輯。 配置規則灰度和生效時間。 規則灰度：配置規則針對不同維度的對象的生效比例。 開啟規則灰度后，您還需要設置灰度維度和灰度比例。灰度維度包括：IP、自定義header、自定義參數、自定義Cookie、Session。 生效時間模式 永久生效（默認）：防護模板開啟時，規則永久生效。 按時間段生效：您可以將具體某一時區的一段時間設置為防護規則的生效時間。 按周期生效：您可以將具體某一時區的每一天的一段時間設置為防護規則的生效時間。 您也可以選中多個規則，批量修改規則灰度和生效時間模式。

7. 在防護效果驗證向導頁面，測試防爬防護規則。

   建議您先完成防護動作驗證，再發布策略，避免出現因規則配置錯誤、兼容性等問題引發誤攔截。如果您確認規則配置無誤，也可以單擊左下角跳過，直接創建。

   驗證步驟如下：

   1. 第一步：填寫客戶端公網測試IP

      填寫您測試設備（PC或手機）的公網IP。防爬規則驗證測試僅針對該公網IP生效，不會對您的業務產生影響。

      重要

      請不要填寫通過ipconfig查詢的IP地址（即內網IP地址）。如果不確定您設備的公網IP，可以通過在線IP查詢工具查詢。

   2. 第二步：選擇動作進行測試

      將防護規則推薦中已配置規則所涉及到的防護動作（可選JS校驗防護效果驗證、動態令牌驗證、滑塊驗證、攔截驗證）生成一條只針對您測試IP生效的測試規則，驗證防護動作的執行結果。

      在測試動作模塊上單擊去測試后，WAF會將防護策略即刻下發到測試設備，同時為您展示測試效果演示圖和說明，建議您仔細閱讀。

      完成測試后，單擊我已完成測試進入下一步；如果測試結果異常，可單擊返回去再準備一下，對照防爬策略測試常見問題，優化防爬規則后重新測試。

創建App防爬場景化防護規則

如果您的實際業務是基于iOS或Android原生開發的App（不包括App中使用的H5頁面）等，您可以創建App防爬場景化防護模板，自定義防護規則，防御App爬蟲。

1. 登錄Web應用防火墻3.0控制臺。在頂部菜單欄，選擇WAF實例的資源組和地域（中國內地、非中國內地）

2. 在左側導航欄，選擇防護配置 > BOT管理

3. 在場景化防護頁簽，單擊新建模板。

4. 在防護場景定義配置向導頁面，完成如下配置后，單擊下一步。

   配置項	說明
   模板名稱	為該模板設置一個名稱。 長度為1~255個字符，支持中文和大小寫英文字母，可包含數字、半角句號（.）、下劃線（_）和短劃線（-）。
   模板介紹	為該模板填寫相關介紹信息。
   防護目標類型	選擇APP，表示對使用基于iOS或Android原生開發的App（不包括App中使用的H5頁面）進行防護。
   APP SDK集成	WAF提供基于Native App（Android/iOS）的SDK用以提升該場景下的防護效果。SDK集成后將會采集客戶端的風險特征并生成安全簽名附帶在請求中，WAF會根據簽名特征進行請求風險的識別和攔截。 您可以通過如下方式，集成App SDK： 請提交工單聯系我們，獲取iOS應用對應的SDK。 單擊獲取并復制appkey，用于發起SDK初始化請求。 集成App SDK。具體操作，請參見iOS應用集成SDK。
   防護目標特征	添加目標流量的HTTP請求字段及其規則，即訪問該防護目標時，HTTP請求報文中生成的有關該防護業務場景的字段內容。最多可以添加5個條件特征，且各條件之間為與關系。有關字段的詳細內容，請參見匹配條件說明。

5. 在防護規則推薦向導頁面，完成如下配置后，單擊下一步。

   配置項	說明
   風險識別	勾選業務安全策略后，請填寫相關信息。更多詳情，請參見風險識別。 啟用規則后，與風險識別產品融合，配置后可實現針對黃牛等異常手機號的訪問阻斷，根據規則命中情況進行后付費。
   Bot特征識別	識別規則 APP簽名異常（默認選中） 默認選中且不可關閉。WAF將檢測App集成SDK后未攜帶簽名或簽名非法的請求。 自定義加簽字段（默認不選中） 選中此開關后，需要設置字段名，在cookie、參數、header中自定義加簽字段。如果簽名對象存在body超長、為空或特殊編碼等情況，WAF可將簽名內容用hash等方式處理后放在自定義的加簽字段中，并按該內容驗簽。 設備特征異常 啟用此項后，WAF會對具有異常特征的設備發起的請求進行檢測和管控，包括：簽名過期、使用模擬器、使用代理、Root設備、調試模式、APP被hook、App多開、模擬執行、腳本工具。 防護動作 您可根據需要為配置的Bot特征識別規則，設置處置動作為觀察、攔截或嚴格滑塊。 高級防護 單擊高級防護，進行如下設置： 二次打包檢測 規則設置 啟用此項后，如果有不在合法包名和包簽名白名單中的App請求，將被視為二次打包請求。您可以設置合法版本信息： 指定合法包名：指定合法的App包名稱。例如example.aliyundoc.com。 包簽名：指定需要驗證對應的App包簽名。如果需要驗證，請提交工單聯系我們。如果無需驗證對應的App包簽名，則包簽名項為空即可，WAF將只驗證所設定的合法App包名稱。 重要 包簽名不是App證書簽名。 新增合法版本最多可添加5條，且包名稱不允許重復，條件之間為或關系。 防護動作 您可根據需要為配置的二次打包檢測規則，設置處置動作為觀察、攔截、滑塊或嚴格滑塊。 自定義特征策略 當上述默認設備特征難以滿足防護效果時，您可以單擊自定義特征策略下的新增規則，完成如下配置： 匹配條件：最多支持5條，且配置多個匹配條件時，需要同時命中規則才會生效。 單擊查看支持的匹配字段 eeid_is_root：表示是否為ROOT權限。 eeid_is_proxy：表示是否為代理。 eeid_is_simulator：表示是否為模擬器。 eeid_is_debugged：表示是否為調試。 eeid_is_hook：表示是否被hook。 eeid_is_virtual：表示是否為多開。 eeid_is_new：表示是否為新設備。 eeid_is_wiped：表示是否為疑似刷機。 eeid_short_uptime：表示是否開機時間過短。 eeid_abnormal_time：表示是否本機時間異常。 eeid_running_frame_xposed：表示是否為xposed。 eeid_running_frame_frida：表示是否為frida。 eeid_running_frame_cydia：表示是否為cydia。 eeid_running_frame_fishhook：表示是否為fishhook。 eeid_running_frame_va：表示是否為va框架。 eeid_running_frame_magisk：表示是否為magisk。 eeid_running_frame_edxposed：表示是否為edxposed框架。 eeid_umid：表示是否為設備umid值。 appname：表示應用名稱。 packagename：表示包名。 appversion：表示應用版本號。 version：表示WAF SDK版本號。 brand：表示手機品牌。 model：表示手機型號。 product：表示產品代號。 manufacture：表示手機廠商。 hardware：表示硬件名稱。 規則動作：支持觀察、攔截、滑塊、嚴格滑塊或回源標記。如果設置為回源標記，您還需要設置回源的Header名稱、Header內容。 最多添加10個條件，且條件之間為或關系。
   Bot行為識別	勾選AI智能防護后，需要為被識別的Bot行為配置規則動作為觀察、滑塊、嚴格滑塊或回源標記。如果設置為回源標記，您還需要設置回源時標記的Header名稱、Header內容。 開啟此開關后，防爬規則會通過AI智能防護引擎對訪問流量進行分析和自動學習，生成有針對性的防護規則或黑名單。
   Bot限速	開啟此開關后，可自定義訪問頻率限制條件，有針對性地對訪問頻率過高的爬蟲請求進行過濾，有效緩解CC攻擊。 IP限速（默認） 在統計時長（秒）內，來自同一IP地址的訪問次數超過指定閾值（次）時，在限速時間（秒）內，對來自該IP的訪問請求執行攔截、觀察、滑塊或嚴格滑塊的限速動作。最多可以設置3個條件，且條件之間為或關系。 設備限速 在統計時長（秒）內，來自同一設備的訪問次數超過指定閾值（次）時，在限速時間（秒）內，對來自該設備的訪問請求執行攔截、觀察、滑塊或嚴格滑塊的限速動作。最多可以設置3個條件，且條件之間為或關系。 自定義會話限速 在統計時長（秒）內，對指定的會話類型的訪問次數超過指定閾值（次）時，在限速時間（秒）內，對該會話的請求執行攔截、觀察、滑塊或嚴格滑塊的限速動作。最多可以設置3個條件，且條件之間為或關系。 會話類型支持自定義header、自定義參數、自定義cookie、Session。
   Bot威脅情報	爬蟲威脅情報庫 收錄一段時間內在阿里云上對多個用戶有多次惡意爬取行為的攻擊源IP，并對其執行觀察、滑塊、嚴格滑塊或回源標記處置。如果設置為回源標記，您還需要設置回源時標記的Header名稱、Header內容。 IDC黑名單封禁 開啟此開關后，如果攻擊源IP來自選中IP庫，則對其執行觀察、滑塊、攔截、嚴格滑塊或回源標記。如果設置為回源標記，您還需要設置回源時標記的Header名稱、Header內容。 說明 如果您使用公有云或IDC機房的源IP來訪問，請注意加白已知的合法調用，如支付寶或微信的支付回調、監控程序等。

6. 在生效范圍向導頁面，完成如下配置后，單擊下一步。

   配置項	說明
   生效對象	選中需要應用的防護對象或防護對象組，單擊圖標，將該防護對象或防護對象組移入已選擇對象區域內。
   生效時間及規則灰度	您需要為已選擇的防護規則設置規則灰度和生效時間。如果不設置，則規則默認關閉規則灰度，且永久生效。 定位到目標規則，單擊操作列的編輯。 配置規則灰度和生效時間。 規則灰度：配置規則針對不同維度的對象的生效比例。 開啟規則灰度后，您還需要設置灰度維度和灰度比例。灰度維度包括：IP、自定義header、自定義參數、自定義Cookie、Session。 生效時間模式 永久生效（默認）：防護模板開啟時，規則永久生效。 按時間段生效：您可以將具體某一時區的一段時間設置為防護規則的生效時間。 按周期生效：您可以將具體某一時區的每一天的一段時間設置為防護規則的生效時間。 您也可以選中多個規則，批量修改規則灰度和生效時間模式。

7. 在防護效果驗證向導頁面，測試防爬防護規則。

   建議您先完成防護動作驗證，再發布策略，避免出現因規則配置錯誤、兼容性等問題引發誤攔截。如果您確認規則配置無誤，也可以單擊左下角跳過，直接創建。

   驗證步驟如下：

   1. 第一步：填寫客戶端公網測試IP

      填寫您測試設備（PC或手機）的公網IP。防爬規則驗證測試僅針對該公網IP生效，不會對您的業務產生影響。

      重要

      請不要填寫通過ipconfig查詢的IP地址（即內網IP地址）。如果不確定您設備的公網IP，可以通過在線IP查詢工具查詢。

   2. 第二步：選擇動作進行測試

      將防護規則推薦中已配置規則所涉及到的防護動作（可選攔截驗證、SDK簽名驗證）生成一條只針對您測試IP生效的測試規則，驗證防護動作的執行結果。

      在測試動作模塊上單擊去測試后，WAF會將防護策略即刻下發到測試設備，同時為您展示測試效果演示圖和說明，建議您仔細閱讀。

      完成測試后，單擊我已完成測試進入下一步；如果測試結果異常，可單擊返回去再準備一下，對照防爬策略測試常見問題，優化防爬規則后重新測試。

創建基礎防護規則

如果您的業務遭遇中低級爬蟲，您可以配置較簡單的基礎防護規則。基礎防護不提供默認規則模板。如果您需要啟用該功能，必須新建一個規則模板。

1. 登錄Web應用防火墻3.0控制臺。在頂部菜單欄，選擇WAF實例的資源組和地域（中國內地、非中國內地）

2. 在左側導航欄，選擇防護配置 > BOT管理

3. 在基礎防護頁簽，單擊新建模板。

4. 在新建模板 - Bot管理面板，完成如下配置后，單擊確定。

   配置項	說明
   模板名稱	為該模板設置一個名稱。 長度為1~255個字符，支持中文和大小寫英文字母，可包含數字、半角句號（.）、下劃線（_）和短劃線（-）。
   模板介紹	為該模板填寫相關介紹信息。
   規則動作	為該防護規則配置處置動作為攔截或觀察。
   高級設置	規則灰度：配置規則針對不同維度的對象的生效比例。 開啟規則灰度后，您還需要設置灰度維度和灰度比例。灰度維度包括：IP、自定義header、自定義參數、自定義Cookie、Session。 生效時間模式 永久生效（默認）：防護模板開啟時，規則永久生效。 按時間段生效：您可以將具體某一時區的一段時間設置為防護規則的生效時間。 按周期生效：您可以將具體某一時區的每一天的一段時間設置為防護規則的生效時間。
   生效對象	從已添加的防護對象及對象組中，選擇要應用該模板的防護對象和防護對象組。 一個防護對象或對象組只能關聯到當前防護模塊下的一個模板。關于添加防護對象和對象組的具體操作，請參見配置防護對象和防護對象組。

新建的規則模板默認開啟。您可以在基礎防護頁簽的規則模板卡片區域執行如下操作：

• 查看模板包含的規則ID。

  說明

  一個基礎防護模板包含三個規則ID，包括兩個白名單規則ID、一個ACL和CC防護規則組成的規則ID。您可以通過該規則ID，在安全報表查看防護效果。具體操作，請參見安全報表。

• 復制、編輯或刪除規則模板。

• 通過模板開關，開啟或關閉模板。

• 查看模板的規則動作和關聯的防護對象/組數量。

防爬策略測試常見問題

若在防護效果驗證時出現異常情況，可參考表格解決對應問題。

后續步驟

您可以在安全報表頁面，查詢防護規則的執行記錄。更多信息，請參見安全報表。