Bot 防护配置
更新时间:2026-05-21
接入百度智能云 Web 应用防火墙(Web Application Firewall,简称 WAF)后,您可以配置 Bot 管理规则,针对自动化工具(例如脚本、模拟器等)造成的数据爬取、业务作弊、撞库注册、恶意秒杀、短信接口滥刷等场景进行防护。
使用限制
Bot 管理功能仅 SaaS WAF 企业版支持。
功能介绍
Bot 管理为您提供以下防护能力,帮助您快速识别机器流量,防御爬虫风险,避免业务数据被爬取:
- 风险识别:基于内建的手机号信誉数据库,防范垃圾账号注册、营销活动作弊等行为。WAF 可在 HTTP 请求中检测手机号或其 SHA1 加密信息,并与信誉库进行对比,发现异常标签后采取相应处置动作。
- Bot 行为识别:基于 AI 智能防护引擎对访问流量进行分析和自动学习,生成针对性的防护规则;支持 IP 和会话自定义限速,有针对性地对访问频率过高的爬虫请求进行过滤。
- 自定义 Bot 策略:支持自定义多种复杂策略配置,包括 IP 地域情报库、IP 动态情报库、设备情报库、Referer、Cookie、User Agent、IP 等多种条件组合,对恶意爬取行为的攻击源进行处置。
- Bot 特征识别:支持 JavaScript 校验和动态令牌挑战,过滤非浏览器类工具流量,阻断简单脚本类攻击,对请求数据进行签名验证。
操作步骤
步骤一:创建 Bot 防护模板
- 登录 百度云 Web 应用防火墙控制台,在顶部菜单栏选择资源对应的地域。
- 在左侧导航栏,选择 防护配置 -> Bot 管理。
- 单击 创建 Bot 规则模板。每个域名支持配置多个模板。
步骤二:防护场景定义
- 模板名称:为该防护模板设置一个名称。
-
优先级:设置模板的执行优先级,取值范围为 0~500 的整数,数字越小优先级越高。允许多个模板使用相同优先级数值,不同模板之间的优先级不要求为连续的数字。当一个请求匹配多个模板时,优先级最高的模板生效;同优先级时随机选择一个模板生效。
如需了解优先级的详细匹配逻辑,请参阅优先级说明。
-
Web SDK 集成:采用基于 JavaScript 的 Web SDK,提升 Web 浏览器场景下的防护效果。开启该功能后,WAF 将自动在防护对象的 HTML 页面中引用 SDK,采集浏览器信息、攻防探针、操作行为等(不涉及个人敏感信息),并根据获取的信息进行风险识别和拦截。
- 手动集成(默认):适合无法满足自动集成的场景,或当前站点与组件产生冲突的情况。手动集成必须满足以下条件:(1)所有依赖配置了防护场景的 API 接口所在的页面都必须接入特定组件;(2)在页面使用组件功能之前,必须先完成组件 script 代码的注入。
- 自动集成:网站 HTML 页面由 WAF 接管,WAF 会在页面请求响应时向页面注入组件 script 标签,无需代码改造即可完成部署,同时享受线上组件的热更新。
更多 SDK 配置信息,请参阅Web 应用集成 SDK。 - 防护目标特征:添加目标流量的请求特征。
步骤三:配置 Bot 防护规则
-
业务安全(风险识别):启用规则后,可实现针对异常手机号的访问阻断。
- 账号提取:账号类型支持手机号、手机号 SHA1;账号位置支持 Cookie 名称、Query 参数、Body 参数。最多添加 5 个条件,条件之间为"或"关系。
- 风险标签:最多添加 5 个条件,条件之间为"或"关系。支持以下标签:
- 诈骗风险:疑似历史上存在欺诈行为。
- 机器注册:疑似使用非法工具进行用户注册。
- 营销作弊:疑似使用非法工具参与营销活动,如骗取优惠券、红包等平台补贴。
- 风险账号:疑似使用非法工具进行抢票、商品秒杀等高频抢占行为。
-
Bot 行为识别:
- AI 智能防护:开启后,防爬规则会通过 AI 智能防护引擎对访问流量进行分析和自动学习,自动对常见典型的异常爬虫流量做检出。支持的处置动作为拦截、观察、人机识别、滑块验证、严格滑块验证、回源标记。
- 自定义限速:开启后可自定义访问频率限制条件,有针对性地对访问频率过高的爬虫请求进行过滤。
- 自定义 IP 限速:在统计时长(秒)内,来自同一 IP 地址的访问次数超过指定阈值(次)时,在限速时间(秒)内对来自该 IP 的访问请求执行相应处置动作。支持的处置动作为拦截、观察、人机识别、滑块验证、严格滑块验证、回源标记。
- 自定义会话限速:在统计时长(秒)内,对指定会话类型的访问次数超过指定阈值(次)时,在限速时间(秒)内对该会话的请求执行相应处置动作。会话类型支持自定义 header、自定义参数、自定义 cookie、Session。支持的处置动作为拦截、观察、人机识别、滑块验证、严格滑块验证、回源标记。
-
Bot 特征识别:
- 简单脚本过滤(JavaScript 校验):开启后对访问防爬防护目标的客户端进行 JS 校验,过滤不支持 JS 校验的非浏览器类工具流量,阻断简单脚本类攻击。
- 高级 Bot 防御(动态令牌挑战):开启后对每次请求数据进行签名验证,不能通过验签的请求将被拦截。可选项:
- 签名验证异常(必选):未携带签名或签名非法时,请求将被拦截。
- 签名时间戳异常:签名时间戳异常时,请求将被拦截。
- WebDriver 攻击:遭遇 WebDriver 攻击时,请求将被拦截。
-
自定义 Bot 策略:支持自定义多种复杂 Bot 高级防护策略配置。
-
匹配条件:
匹配条件 说明 逻辑符 IP 地域情报 收录一段时间内在百度云上对多个用户不同地域多次恶意爬取行为的攻击源 IP,包括海外 IP、IDC IP 和基站 IP。 属于、不属于 IP 动态情报 基于实时行为分析动态更新的 IP 风险标签,包括 NAT IP、搜索引擎爬虫和高危 IP。 属于、不属于 设备情报 对不同时间段的新旧设备进行异常行为识别。 属于、不属于 IP 请求的来源 IP 地址。支持 IPv4(例如 1.XX.XX.1)、IPv6(例如 2001:db8:ffff:ffff:ffff:ffff:ffff:ffff)及 IP 网段格式(例如 1.XX.XX.1/16)。 属于 CIDR、不属于 CIDR;等于、不等于;包含、不包含;前缀匹配、后缀匹配 Referer 请求头中的 Referer 字段,表示请求的来源网址。 等于、不等于;包含、不包含;前缀匹配、后缀匹配 User-Agent 发起请求的客户端的浏览器标识、渲染引擎标识和版本信息等。 等于、不等于;包含、不包含;前缀匹配、后缀匹配 Cookie 请求中的 Cookie 信息。 等于、不等于;包含、不包含;前缀匹配、后缀匹配 Get Param 请求 URL 中的查询参数。 等于、不等于;包含、不包含;前缀匹配、后缀匹配 - 处置动作:选择当请求命中该策略时要执行的防护动作,可选项包括:拦截、观察、人机识别、滑块验证、严格滑块验证、回源标记。
如需了解各处置动作的详细说明,请参阅处置动作说明。
-
匹配条件:
-
自定义响应页面:选择拦截、人机识别、滑块验证、严格滑块验证处置动作时,可在处置动作下方的「自定义响应页面」下拉框中选择绑定对应类型的自定义响应页面。
自定义响应页面具体配置操作,请参阅自定义响应页面。
步骤四:选择生效防护站点
在生效域名配置项中,选择需要应用此防护模板的域名或实例(支持多选)。规则创建完成后,您也可以通过编辑规则来调整或移除已关联的防护站点。
Bot 统计报表
在左侧导航栏,选择 攻击详情 -> Bot 统计,查看 Bot 统计报表。
防护总览
通过折线图,展示在指定时间范围内 Bot 管理防护策略命中的规则动作和规则命中情况。
- 规则动作:请求次数、拦截、观察、人机识别、滑块、严格滑块、回源标记、JS 验证、动态令牌挑战
- 规则命中:自定义 Bot 策略、AI 智能防护、IP 限速、会话限速、风险识别、JS 验证、动态令牌挑战
规则命中统计
通过列表展示命中的防护规则的规则名称、规则 ID、防护域名、包含观察模式的命中次数情况。
TOP 10 IP 统计
分别展示命中拦截、观察、人机识别、滑块验证、严格滑块验证、回源标记、JS 验证、动态令牌挑战的 Top 10 攻击源 IP 及其攻击次数。
攻击详情
列表展示在指定时间范围内命中 Bot 管理防护规则的攻击情况,包括攻击 IP、受影响站点、攻击路径、规则 ID、命中规则等信息。
评价此篇文章