机器人配置
Web 和移动应用程序是企业的重要收入驱动因素,大多数公司都面临诸如机器人等高级网络攻击的威胁。机器人是一种软件程序,它以比人类快得多的速度自动重复执行某些操作。机器人可以与 Web 页面交互、提交表单、运行操作、扫描文本或下载内容。它们可以在社交媒体平台上访问视频、发表评论和推文。有些机器人(称为聊天机器人)可以与人类用户进行基本对话。
由于某些恶意机器人执行恶意任务,因此必须管理漫游器流量并保护您的Web应用程序免受机器人攻击。
CWAAP 机器人管理可以检测传入的漫游器流量并缓解机器人攻击,从而保护您的 Web 应用程序。机器人配置有助于识别恶意机器人并保护您的应用程序免受安全攻击。除了知道机器人何时与应用程序或网络交互以及知道机器人是好是坏,CWAAP Service 平台还会向用户通报机器人活动。然后,用户可以决定要应用的机器人操作(允许、阻止、记录、延迟或欺骗)。
设置 CWAAP 机器人配置
要开始设置 CWAAP 机器人配置,您必须先拥有资产和为该资产配置的策略。
- 选择 配置 > 策略。
- 选择一个策略,然后单击 编辑 (铅笔和纸张)。
- 导航到 机器人配置文件 选项卡。
CWAAP bot 配置文件由机器人保护技术和机器人签名配置组成。
- 保护。机器人防护技术列表,您可以在 CWAAP 机器人配置中配置这些技术,并将机器人操作与之关联。
- 签名。保护您的 Web 应用程序免受机器人攻击的对策列表。机器人签名有助于根据请求参数(例如传入请求中的用户代理)识别好的和坏的机器人。
机器人保护技术
CWAAP bot 防护提供了一系列机器人技术,您可以配置这些技术,然后启用或禁用它以进行策略配置。
配置机器人技术后,必须先启用该技术才能在策略上生效。
以下是 CWAAP 机器人配置支持的机器人防护技术列表:
- 允许列表
- 阻止列表
- 机器人陷阱
- 信誉度
- 设备指纹
- 速率限制
- 交易处理系统 (TPS)
- 验证码
允许列表
可作为机器人策略允许列表绕过的 IP 地址、子网和策略表达式的自定义列表。
注意:
在机器人配置文件中,您最多可以配置 32 个绑定作为允许列表配置的一部分。
使用 CWAAP GUI 配置允许列表:
- 单击添加。
-
在“添加到允许列表绑定”页中,设置以下参数:
- 活动。选择以激活保护技术。
- 类型。选择类型作为表达式、IPv4 或子网。
- 值。提供关联的值,然后选择要执行的相应响应(或操作)。
- 响应。将响应选择为日志或无。
- 单击“提交”。
封禁名单
必须阻止访问您的 Web 应用程序的 IP 地址、子网和策略表达式的自定义列表。只有在启用阻止列表功能时,才会阻止配置的通信。
注意:
在机器人配置文件中,您最多可以配置 32 个绑定作为阻止列表配置的一部分。
使用 CWAAP GUI 配置阻止列表自动程序保护技术:
- 单击添加。
-
在“添加到阻止列表绑定”页面中,设置以下参数:
- 活动。选择以激活保护技术。
- 类型。选择类型作为表达式、IPv4 或子网。
- 值。提供关联的值,然后选择要执行的相应响应(或操作)。
- 响应。选择响应作为“操作和日志”、“日志”或“无”。
- 单击“提交”。
机器人陷阱
CWAAP 机器人陷阱保护技术在客户端响应中随机或定期插入陷阱 URL。您也可以创建默认陷阱 URL 并为其添加 URL。如果客户端是人类用户,则该 URL 将显示为不可见且无法访问。但是,如果客户端是自动机器人,则可以访问该 URL,并且在访问时,攻击者将被归类为机器人,并且该机器人的任何后续请求都将被阻止。陷阱技术可以有效阻止来自机器人的攻击。
使用 CWAAP GUI 配置机器人陷阱保护技术:
- 在“机器人陷阱”部分中,单击“添加”。
-
在“添加插入 URL”页面中,设置以下参数:
- 活动。选择以激活指定的 URL 模式。
- URL 模式。为访问量最大的网站或那些经常访问的网站提供 URL 模式(插入 URL)。如果未提供 URL,并且机器人防护技术措施为激活该技术并为策略启用该技术。此外,还会为所有 URL 创建默认陷阱 URL。
- 单击“提交”。
IP 信誉
CWAAP 防护技术可检测传入的机器人流量是否来自恶意 IP 地址。作为配置的一部分,我们设置了不同的恶意机器人类别,并将机器人操作与每个类别相关联。
以下是 IP 信誉威胁检测类别:
- 僵尸网络
- DoS
- IP
- 移动威胁
- 钓鱼
- 代理
- 信誉度
- 扫描仪
- 垃圾邮件源
每种威胁类型都可以设置为以下响应类型之一。
- 处理措施和日志 — 记录违规详细信息,并采用配置的操作类型。
- 日志 — 捕获并记录与配置匹配的任何流量,但不采取任何操作。
- 无 — 如果发生匹配,则不执行任何操作。
设置响应类型后,您可以配置以下任一机器人操作。
- 删除
- 缓解
- 重定向
- 重置
设备指纹
CWAAP bot 技术可检测传入的 bot 流量是否在传入的请求标头和传入客户端机器人流量的浏览器属性中具有设备指纹 ID。检查属性以确定流量是机器人还是人类。在这种技术中,HTTP 请求标头“用户代理”是决定因素。
如果 URL 已提供,并且它与 ADC 列表匹配,则会进行域名查找。如果确定了匹配的域名,则认为流量良好。
但是,如果返回的域名与ADC的域名不匹配,则流量将被丢弃并被视为不良。
如果完成了用户代理搜索并找到了匹配项,则流量将被丢弃并指定为不正确。
使用 CWAAP GUI 配置设备指纹保护技术:
-
在“设备指纹”部分中,设置以下参数。
- 响应。选择一个机器人响应。
- 处理措施和日志 — 记录违规详细信息,并采用配置的操作类型。
- 日志。 捕获并记录与配置匹配的任何流量,但不执行任何操作。
- 无。如果发生匹配,则不执行任何操作。
- 操作。您可以配置以下任一机器人操作。
- 删除
- 缓解
- 重定向
- 重置
- 响应。选择一个机器人响应。
速率限制
CWAAP 速率限制保护技术检查从客户端 IP 地址、会话 ID 或配置的资源(传入 URL)收到请求的时间范围。
注意:
在机器人配置文件中,您最多可以配置 32 个绑定作为速率限制配置的一部分。
使用 CWAAP GUI 配置速率限制自动程序保护技术:
- 在“速率限制”部分,单击“添加”。
-
在“添加到速率限制绑定”页中,设置以下参数:
- 活动:从下拉菜单中选择“类型”。
-
类型:选择速率限制类型:
- Source_IP — 速率限制将由客户端 IP 地址决定。
- 会话 — 速率限制将由配置的 cookie 名称决定。
- URL — 速率限制将由配置的 URL 决定。
- URL:速率限制将由配置的 URL 决定。
- Rate:配置速率值,该值确定指定时间段内允许的请求数
- 周期:为所选速率值配置周期值(以毫秒为单位)(以 10 的倍数表示)
- 回应:选择回应类型以及关联的活动类型(如果适用)。
- 操作:选择一个机器人操作。
- 单击“提交”。
机器人交易处理系统 (TPS)
CWAAP 事务处理系统 (TPS) 保护技术在配置的时间间隔内检查请求数量和请求增加的百分比,以确定流量是否来自机器人。
使用 CWAAP GUI 配置事务处理系统 (TPS) 保护:
- 在“TPS 绑定”部分中,单击“添加”。
- 在“添加到 TPS 绑定”页面中,设置以下参数:
- 类型:从“主机”或“请求 URL”的下拉菜单中选择“类型”。
- 固定阈值:提供固定阈值,该值将确定一秒钟时间间隔内允许的最大请求数。
- % Threshold:提供百分比阈值,该值将确定 30 分钟时间段内允许的最大请求增加百分比。
-
回应:从下拉菜单中选择回应类型。
- 处理措施和日志 — 记录违规详细信息,并采用配置的操作类型。
- 日志 — 捕获并记录与配置匹配的任何流量,但不采取任何操作。
- 无 — 如果发生匹配,则不执行任何操作。
- 操作:选择一个机器人操作。
- 单击“提交”。
验证码
CAPTCHA是首字母缩写,代表“完全自动化的公共图灵测试,将计算机和人类区分开来”。CAPTCHA 旨在测试传入的流量是来自人类用户还是自动机器人。CAPTCHA 有助于阻止导致 Web 应用程序安全违规的自动机器人。在CWAAP中,CAPTCHA使用质询-响应模块来识别传入流量是否来自人类用户而不是自动机器人。
注意:
每个 URL 只允许一个绑定。如果某个 URL 存在绑定,并且为同一 URL 配置了另一个绑定,则先前的绑定信息将被删除。每个机器人配置文件最多只能配置 30 个绑定。
使用 CWAAP GUI 配置验证码保护技术:
- 在“验证码”部分中,单击“添加”。
-
在“添加到验证码绑定”页面中,设置以下参数:
- 等待时间 — 确定客户端发送 CAPTCHA 响应之前的持续时间。允许的范围为 10—60(秒)。
- 宽限期 — 确定从发送当前 CAPTCHA 响应到不发送新质询的持续时间。
- 允许的范围为 60—900(秒)。
- 静音周期 — 确定在收到错误的 CAPTCHA 响应且不接受来自客户端的其他请求时等待的持续时间。
- 允许的范围为 60—900(秒)。
- 请求长度 — 确定要发送到客户端的 CAPTCHA 质询的请求正文的大小。如果请求正文长度超过配置的“请求长度”,则请求将被删除。
- 允许的范围是 10—30,000 (字节)。
- 重试次数 — 确定允许的重试次数。
- 允许范围为 1—10。
- 选择响应和相应的操作(如果适用)。
- 单击“提交”。
单击“保存”将配置应用于策略。