Web 应用防火墙

产品文档

Web 应用防火墙

数据风控

网站接入Web应用防火墙后,您可以为其开启数据风控功能。数据风控帮助防御网站关键业务(例如注册、登录、活动、论坛)中可能发生的机器爬虫欺诈行为。您可以根据实际需求设置数据风控的防护策略。

前提条件

  • 已开通Web应用防火墙实例,企业版及以上的套餐版本,更多信息,请参见开通Web应用防火墙
  • 已完成网站接入。更多信息,请参见添加域名
  • 只支持网页,通过浏览器访问并且可以执行JS程序。

背景信息

数据风控基于京东云的大数据能力,通过业内领先的风险决策引擎,结合人机识别技术,防止各类场景的关键业务欺诈行为。您只需将业务接入Web应用防火墙即可使用数据风控功能,轻松获取风控能力,且无需在服务器或客户端进行任何改造。

数据风控支持防护的场景包括但不限于以下内容:垃圾注册、短信验证码滥刷、撞库、暴力破解、恶意抢购、秒杀、薅羊毛、抢红包、机器人抢票、刷票。

包年包月开通的Web应用防火墙实例,其数据风控功能有以下限制。

功能 说明 高级版 企业版 旗舰版
数据风控 最多支持添加的防护请求数量。 不支持 10(条) 20(条)

操作步骤

  1. 登录Web应用防火墙控制台

  2. 在左侧导航栏,单击网站配置

  3. 网站配置页面定位到要防护的域名,在操作栏单击防护配置

  4. 在防护配置页面,单击业务风控页签,定位到数据风控模块,开启状态开关。开启数据风控后,Web应用防火墙默认将在网站所有(或指定的)页面中插入JS插件用于安全防护。

    image

  5. 在防护请求Tab页,点击添加防护请求,按照下表填写防护请求。

    image

    | 配置项 | 配置项说明 | | :----------- | :----------------------------------------------------------- | | 规则名称 | 输入防护规则的名称 | | 防护URL | 输入防护请求URL,更多信息,参加什么是防护请求URL。 | | 配置动作 | 数据风控的防护模式。可选值:
    观察:识别到业务攻击时,只记录风险日志、不进行拦截,可通过业务风控日志查看详细风险情况。
    人机交互:识别到业务攻击时,进行算法挑战进行二次验证。 |

6.点击确定,添加规则。防护请求添加成功后,10分钟左右生效。

7.(可选)指定JS插入页面。

由于部分页面前端代码与数据风控的JavaScript脚本可能存在兼容性问题。如果遇到此类问题,建议您通过指定页面插入JS功能仅添加部分页面进行安全防护。

说明 仅在部分页面插入JS插件时,数据风控将可能无法获取完整的用户访问行为,并对最终的防护效果产生影响。

使用限制:最多支持指定20个页面地址。

​ i.单击JS插入页面Tab页。

​ ii.选中指定页面插入JS,并单击添加页面

image

​ iii.在添加URL对话框,输入要插入JS的页面的地址(以“/”开头),并单击确定

image

成功添加URL后,数据风控将仅在您所添加的URL路径下的页面中插入JS插件。

开启数据风控后,您可以使用Web应用防火墙的全量日志功能查看防护结果。关于日志示例,请参见查看防护结果

什么是防护请求URL

防护请求URL指执行业务动作的接口地址,而不是页面本身的URL地址。例如,下图所示注册页面本身的URL地址为 www.abc.com/login,登录按钮对应的业务接口地址是 www.abc.com/register.do

image

这种情况下,登录按钮对应的接口地址www.abc.com/login.do添加防护请求,并设置为防护请求URL,防止撞库登录风险。如果将登录页面地址www.abc.com/login设置为防护请求URL,当正常用户访问该页面时也将收到算法挑战,影响用户体验。

防护请求URL注意事项

  • 防护请求URL必须精确到实际请求URL,不支持模糊匹配。

    例如,将www.exzample.com/test设置为防护请求URL,则数据风控只匹配test路径的访问请求,不会匹配test路径下所有页面的访问请求。

  • 直接请求数据风控已防护的URL一定会触发算法挑战。因此,请确保所配置的防护请求URL在正常情况下不会被用户直接请求,即正常用户通常需要经过一系列的前置访问后才会请求该URL地址。

  • 直接调用API接口的场景不适合使用数据风控进行防护。由于API调用是直接发起的机器行为,无法通过数据风控的人机识别验证。但是,对于正常用户单击页面中的某按钮调用API接口的情况,可以通过数据风控功能进行防护。

更新时间:2021-01-26 12:53:45