**Memperkenalkan pengalaman konsol baru untuk AWS WAF**
Anda sekarang dapat menggunakan pengalaman yang diperbarui untuk mengakses AWS WAF fungsionalitas di mana saja di konsol. Untuk detail selengkapnya, lihat [Bekerja dengan konsol](https://docs.aws.amazon.com/waf/latest/developerguide/working-with-console.html).
Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# AWS WAF Kontrol Bot
Bagian ini menjelaskan apa yang dilakukan Bot Control.
Dengan Bot Control, Anda dapat dengan mudah memantau, memblokir, atau menilai bot batas seperti pencakar, pemindai, perayap, monitor status, dan mesin pencari. Jika Anda menggunakan tingkat inspeksi yang ditargetkan dari grup aturan, Anda juga dapat menantang bot yang tidak mengidentifikasi diri sendiri, membuatnya lebih sulit dan lebih mahal bagi bot jahat untuk beroperasi di situs web Anda. Anda dapat melindungi aplikasi Anda menggunakan grup aturan terkelola Kontrol Bot sendiri, atau dalam kombinasi dengan grup aturan Aturan AWS Terkelola lainnya dan AWS WAF aturan kustom Anda sendiri.
Bot Control mencakup dasbor konsol yang menunjukkan berapa banyak lalu lintas Anda saat ini berasal dari bot, berdasarkan pengambilan sampel permintaan. Dengan grup aturan terkelola Bot Control ditambahkan ke paket perlindungan Anda (web ACL), Anda dapat mengambil tindakan terhadap lalu lintas bot dan menerima informasi terperinci dan real-time tentang lalu lintas bot umum yang datang ke aplikasi Anda.
**catatan**
Anda akan dikenakan biaya tambahan saat menggunakan grup aturan terkelola ini. Untuk informasi selengkapnya, silakan lihat [Harga AWS WAF](https://aws.amazon.com/waf/pricing/).
Grup aturan terkelola Bot Control menyediakan tingkat perlindungan dasar dan umum yang menambahkan label ke bot pengenal diri, memverifikasi bot yang umumnya diinginkan, dan mendeteksi tanda tangan bot dengan kepercayaan tinggi. Ini memberi Anda kemampuan untuk memantau dan mengontrol kategori umum lalu lintas bot.
Grup aturan Bot Control juga menyediakan tingkat perlindungan yang ditargetkan yang menambahkan deteksi untuk bot canggih yang tidak mengidentifikasi diri. Perlindungan yang ditargetkan menggunakan teknik deteksi seperti interogasi browser, sidik jari, dan heuristik perilaku untuk mengidentifikasi lalu lintas bot yang buruk. Selain itu, perlindungan yang ditargetkan menyediakan analisis pembelajaran mesin opsional otomatis dari statistik lalu lintas situs web untuk mendeteksi aktivitas terkait bot. Saat Anda mengaktifkan pembelajaran mesin, AWS WAF gunakan statistik tentang lalu lintas situs web, seperti stempel waktu, karakteristik browser, dan URL sebelumnya yang dikunjungi, untuk meningkatkan model pembelajaran mesin Kontrol Bot.
Saat AWS WAF mengevaluasi permintaan web terhadap grup aturan terkelola Bot Control, grup aturan menambahkan label ke permintaan yang dideteksi sebagai bot terkait, misalnya kategori bot dan nama bot. Anda dapat mencocokkan label ini dalam AWS WAF aturan Anda sendiri untuk menyesuaikan penanganan. Label yang dihasilkan oleh grup aturan terkelola Kontrol Bot disertakan dalam CloudWatch metrik Amazon dan log paket perlindungan (web ACL) Anda.
Anda juga dapat menggunakan AWS Firewall Manager AWS WAF kebijakan untuk menyebarkan grup aturan terkelola Kontrol Bot di seluruh aplikasi Anda di beberapa akun yang merupakan bagian dari organisasi Anda. AWS Organizations
Untuk informasi selengkapnya tentang grup aturan terkelola Kontrol Bot, lihat[AWS WAF Grup aturan Bot Control](aws-managed-rule-groups-bot.md).
## Otentikasi bot web untuk agen AI
AWS WAF Bot Control sekarang mendukung Web Bot Authentication (WBA) sebagai metode verifikasi kriptografi untuk bot dan agen AI yang mengakses distribusi Anda. CloudFront Fitur ini memungkinkan perayap dan agen AI yang sah untuk membuktikan identitas mereka tanpa memerlukan mekanisme respons tantangan tradisional.
Persyaratan versi: `AWSManagedRulesBotControlRuleSet` Version\$14.0 atau yang lebih baru. (Versi statis harus dipilih secara eksplisit.) Untuk taksonomi label terperinci dan perilaku aturan, lihat:
+ [AWS WAF Grup aturan Bot Control](aws-managed-rule-groups-bot.md)
+ [Pelabelan permintaan web di AWS WAF](waf-labels.md)
+ [AWS Aturan Terkelola changelog](aws-managed-rule-groups-changelog.md)
# AWS WAF Komponen Kontrol Bot
Komponen utama implementasi Bot Control adalah sebagai berikut:
+ **`AWSManagedRulesBotControlRuleSet`**— Grup aturan terkelola Bot Control yang aturannya mendeteksi dan menangani berbagai kategori bot. Grup aturan ini menambahkan label ke permintaan web yang dideteksi sebagai lalu lintas bot.
**catatan**
Anda akan dikenakan biaya tambahan saat menggunakan grup aturan terkelola ini. Untuk informasi selengkapnya, silakan lihat [Harga AWS WAF](https://aws.amazon.com/waf/pricing/).
Grup aturan terkelola Bot Control menyediakan dua tingkat perlindungan yang dapat Anda pilih:
+ **Umum** - Mendeteksi berbagai bot pengenal diri, seperti kerangka kerja pengikisan web, mesin pencari, dan browser otomatis. Perlindungan Bot Control pada tingkat ini mengidentifikasi bot umum menggunakan teknik deteksi bot tradisional, seperti analisis data permintaan statis. Aturan memberi label lalu lintas dari bot ini dan memblokir yang tidak dapat mereka verifikasi.
+ **Ditargetkan** - Termasuk perlindungan tingkat umum dan menambahkan deteksi bertarget untuk bot canggih yang tidak mengidentifikasi diri. Perlindungan yang ditargetkan mengurangi aktivitas bot menggunakan kombinasi pembatasan kecepatan dan CAPTCHA dan tantangan browser latar belakang.
+ **`TGT_`**— Aturan yang memberikan perlindungan yang ditargetkan memiliki nama yang dimulai dengan`TGT_`. Semua perlindungan yang ditargetkan menggunakan teknik deteksi seperti interogasi browser, sidik jari, dan heuristik perilaku untuk mengidentifikasi lalu lintas bot yang buruk.
+ **`TGT_ML_`**— Aturan perlindungan yang ditargetkan yang menggunakan pembelajaran mesin memiliki nama yang dimulai dengan`TGT_ML_`. Aturan-aturan ini menggunakan analisis pembelajaran mesin otomatis dari statistik lalu lintas situs web untuk mendeteksi perilaku anomali yang menunjukkan aktivitas bot terdistribusi dan terkoordinasi. AWS WAF menganalisis statistik tentang lalu lintas situs web Anda seperti stempel waktu, karakteristik browser, dan URL sebelumnya yang dikunjungi, untuk meningkatkan model pembelajaran mesin Kontrol Bot. Kemampuan pembelajaran mesin diaktifkan secara default, tetapi Anda dapat menonaktifkannya dalam konfigurasi grup aturan Anda. Ketika pembelajaran mesin dinonaktifkan, AWS WAF tidak mengevaluasi aturan-aturan ini.
Untuk detail termasuk informasi tentang aturan grup aturan, lihat[AWS WAF Grup aturan Bot Control](aws-managed-rule-groups-bot.md).
Anda menyertakan grup aturan ini dalam paket perlindungan (web ACL) menggunakan pernyataan referensi grup aturan terkelola dan menunjukkan tingkat inspeksi yang ingin Anda gunakan. Untuk tingkat yang ditargetkan, Anda juga menunjukkan apakah akan mengaktifkan pembelajaran mesin. Untuk informasi selengkapnya tentang menambahkan grup aturan terkelola ini ke paket perlindungan Anda (web ACL), lihat[Menambahkan grup aturan terkelola AWS WAF Bot Control ke ACL web Anda](waf-bot-control-rg-using.md).
+ **Dasbor Kontrol** Bot - Dasbor pemantauan bot untuk paket perlindungan Anda (web ACL), tersedia melalui tab Kontrol Bot paket perlindungan (web ACL). Gunakan dasbor ini untuk memantau lalu lintas Anda dan memahami berapa banyak yang berasal dari berbagai jenis bot. Ini bisa menjadi titik awal untuk menyesuaikan manajemen bot Anda, seperti yang dijelaskan dalam topik ini. Anda juga dapat menggunakannya untuk memverifikasi perubahan dan memantau aktivitas untuk berbagai bot dan kategori bot.
+ **Dasbor Analisis Lalu Lintas AI** - Dasbor khusus untuk bot AI terperinci dan analisis aktivitas agen, tersedia melalui tab Analisis Lalu Lintas AI paket perlindungan (web ACL). Memberikan visibilitas yang ditingkatkan ke dalam pola lalu lintas khusus AI, maksud bot, dan perilaku akses di luar metrik Kontrol Bot standar.
+ **JavaScript dan integrasi aplikasi seluler SDKs** - Anda harus menerapkan AWS WAF JavaScript dan seluler SDKs jika Anda menggunakan tingkat perlindungan yang ditargetkan dari grup aturan Kontrol Bot. Aturan yang ditargetkan menggunakan informasi yang SDKs disediakan oleh token klien untuk meningkatkan deteksi terhadap bot berbahaya. Untuk informasi lebih lanjut tentang SDKs, lihat[Integrasi aplikasi klien di AWS WAF](waf-application-integration.md).
+ **Logging dan metrik** — Anda dapat memantau lalu lintas bot Anda dan memahami bagaimana grup aturan terkelola Kontrol Bot mengevaluasi dan menangani lalu lintas Anda dengan mempelajari data yang dikumpulkan untuk paket perlindungan Anda (ACL web) oleh log AWS WAF , Amazon Security Lake, dan Amazon. CloudWatch Label yang ditambahkan Bot Control ke permintaan web Anda disertakan dalam data. Untuk informasi tentang opsi ini, lihat[Lalu lintas paket AWS WAF perlindungan pencatatan (web ACL)](logging.md),[Pemantauan CloudWatch dengan Amazon](monitoring-cloudwatch.md), dan [Apa itu Amazon Security Lake?](https://docs.aws.amazon.com/security-lake/latest/userguide/what-is-security-lake.html) .
Bergantung pada kebutuhan dan lalu lintas yang Anda lihat, Anda mungkin ingin menyesuaikan implementasi Kontrol Bot Anda. Berikut ini adalah beberapa opsi yang paling umum digunakan.
+ **Pernyataan cakupan bawah -** Anda dapat mengecualikan beberapa lalu lintas dari permintaan web yang dievaluasi oleh grup aturan terkelola Bot Control dengan menambahkan pernyataan cakupan ke bawah di dalam pernyataan referensi grup aturan terkelola Bot Control. Sebuah pernyataan scope-down dapat berupa pernyataan aturan nestable. Ketika permintaan tidak cocok dengan pernyataan scope-down, AWS WAF mengevaluasinya sebagai tidak cocok dengan pernyataan referensi grup aturan tanpa mengevaluasinya terhadap kelompok aturan. Untuk informasi selengkapnya tentang pernyataan cakupan bawah, lihat. [Menggunakan pernyataan scope-down di AWS WAF](waf-rule-scope-down-statements.md)
Biaya Anda untuk menggunakan grup aturan terkelola Kontrol Bot meningkat dengan jumlah permintaan web yang AWS WAF mengevaluasi dengannya. Anda dapat membantu mengurangi biaya ini dengan menggunakan pernyataan cakupan bawah untuk membatasi permintaan yang dievaluasi oleh grup aturan. Misalnya, Anda mungkin ingin mengizinkan beranda dimuat untuk semua orang, termasuk bot, lalu menerapkan aturan grup aturan ke permintaan yang masuk ke aplikasi Anda APIs atau yang berisi jenis konten tertentu.
+ **Aturan pencocokan label dan label** — Anda dapat menyesuaikan cara grup aturan Kontrol Bot menangani beberapa lalu lintas bot yang diidentifikasi menggunakan pernyataan aturan pencocokan AWS WAF label. Grup aturan Bot Control menambahkan label ke permintaan web Anda. Anda dapat menambahkan aturan pencocokan label setelah grup aturan Kontrol Bot yang cocok pada label Kontrol Bot dan menerapkan penanganan yang Anda butuhkan. Untuk informasi selengkapnya tentang pelabelan dan penggunaan pernyataan pencocokan label, lihat [Pernyataan aturan pencocokan label](waf-rule-statement-type-label-match.md) dan[Pelabelan permintaan web di AWS WAF](waf-labels.md).
+ **Permintaan dan tanggapan khusus** - Anda dapat menambahkan header khusus ke permintaan yang Anda izinkan dan Anda dapat mengirim tanggapan khusus untuk permintaan yang Anda blokir dengan memasangkan label yang cocok dengan fitur permintaan dan respons AWS WAF khusus. Untuk informasi selengkapnya tentang menyesuaikan permintaan dan tanggapan, lihat[Permintaan dan tanggapan web yang disesuaikan di AWS WAF](waf-custom-request-response.md).
# Menggunakan integrasi aplikasi SDKs dengan Bot Control
Bagian ini menjelaskan cara menggunakan integrasi aplikasi SDKs dengan Bot Control.
Sebagian besar perlindungan yang ditargetkan dari grup aturan terkelola Kontrol Bot memerlukan token tantangan yang SDKs dihasilkan oleh integrasi aplikasi. Aturan yang tidak memerlukan token tantangan pada permintaan adalah perlindungan tingkat umum Kontrol Bot dan aturan pembelajaran mesin tingkat yang ditargetkan. Untuk deskripsi tingkat perlindungan dan aturan dalam kelompok aturan, lihat[AWS WAF Grup aturan Bot Control](aws-managed-rule-groups-bot.md).
Kami sangat menyarankan untuk menerapkan integrasi aplikasi SDKs, untuk penggunaan grup aturan Bot Control yang paling efektif. Skrip tantangan harus berjalan sebelum grup aturan Kontrol Bot agar grup aturan mendapat manfaat dari token yang diperoleh skrip.
+ Dengan integrasi aplikasi SDKs, skrip berjalan secara otomatis.
+ Jika Anda tidak dapat menggunakan SDKs, Anda dapat mengonfigurasi paket perlindungan (web ACL) sehingga menjalankan tindakan CAPTCHA aturan Challenge atau terhadap semua permintaan yang akan diperiksa oleh grup aturan Bot Control. Menggunakan tindakan Challenge atau CAPTCHA aturan dapat dikenakan biaya tambahan. Untuk detail harga, lihat [AWS WAF Harga](https://aws.amazon.com/waf/pricing/).
Saat Anda menerapkan integrasi aplikasi SDKs di klien Anda atau menggunakan salah satu tindakan aturan yang menjalankan skrip tantangan, Anda memperluas kemampuan grup aturan dan keamanan aplikasi klien Anda secara keseluruhan.
Token memberikan informasi klien dengan setiap permintaan web. Informasi tambahan ini memungkinkan grup aturan Kontrol Bot untuk memisahkan sesi klien yang sah dari sesi klien yang berperilaku buruk, bahkan ketika keduanya berasal dari satu alamat IP. Grup aturan menggunakan informasi dalam token untuk menggabungkan perilaku permintaan sesi klien untuk deteksi dan mitigasi yang disetel dengan baik yang diberikan oleh tingkat perlindungan yang ditargetkan.
Untuk informasi tentang SDKs, lihat[Integrasi aplikasi klien di AWS WAF](waf-application-integration.md). Untuk informasi tentang AWS WAF token, lihat[Penggunaan token dalam AWS WAF mitigasi ancaman cerdas](waf-tokens.md). Untuk informasi tentang tindakan aturan, lihat[CAPTCHAdan Challenge di AWS WAF](waf-captcha-and-challenge.md).
# Menambahkan grup aturan terkelola AWS WAF Bot Control ke ACL web Anda
Bagian ini menjelaskan cara menambahkan dan mengkonfigurasi grup `AWSManagedRulesBotControlRuleSet` aturan.
Grup aturan terkelola Bot Control `AWSManagedRulesBotControlRuleSet` memerlukan konfigurasi tambahan untuk mengidentifikasi tingkat perlindungan yang ingin Anda terapkan.
Untuk deskripsi grup aturan dan daftar aturan, lihat[AWS WAF Grup aturan Bot Control](aws-managed-rule-groups-bot.md).
Panduan ini ditujukan untuk pengguna yang tahu secara umum cara membuat dan mengelola paket AWS WAF perlindungan (web ACLs), aturan, dan grup aturan. Topik-topik tersebut dibahas di bagian sebelumnya dari panduan ini. Untuk informasi dasar tentang cara menambahkan grup aturan terkelola ke paket perlindungan Anda (web ACL), lihat[Menambahkan grup aturan terkelola ke paket perlindungan (web ACL) melalui konsol](waf-using-managed-rule-group.md).
**Ikuti praktik terbaik**
Gunakan grup aturan Kontrol Bot sesuai dengan praktik terbaik di[Praktik terbaik untuk mitigasi ancaman cerdas di AWS WAF](waf-managed-protections-best-practices.md).
**Untuk menggunakan grup `AWSManagedRulesBotControlRuleSet` aturan dalam paket perlindungan Anda (web ACL)**
1. Tambahkan grup aturan AWS terkelola, `AWSManagedRulesBotControlRuleSet` ke paket perlindungan Anda (web ACL). Untuk deskripsi grup aturan lengkap, lihat[AWS WAF Grup aturan Bot Control](aws-managed-rule-groups-bot.md).
**catatan**
Anda akan dikenakan biaya tambahan saat menggunakan grup aturan terkelola ini. Untuk informasi selengkapnya, silakan lihat [Harga AWS WAF](https://aws.amazon.com/waf/pricing/).
Saat Anda menambahkan grup aturan, edit untuk membuka halaman konfigurasi untuk grup aturan.
1. Pada halaman konfigurasi grup aturan, di panel **tingkat Inspeksi**, pilih tingkat inspeksi yang ingin Anda gunakan.
+ **Umum** - Mendeteksi berbagai bot pengenal diri, seperti kerangka kerja pengikisan web, mesin pencari, dan browser otomatis. Perlindungan Bot Control pada tingkat ini mengidentifikasi bot umum menggunakan teknik deteksi bot tradisional, seperti analisis data permintaan statis. Aturan memberi label lalu lintas dari bot ini dan memblokir yang tidak dapat mereka verifikasi.
+ **Ditargetkan** - Termasuk perlindungan tingkat umum dan menambahkan deteksi bertarget untuk bot canggih yang tidak mengidentifikasi diri. Perlindungan yang ditargetkan mengurangi aktivitas bot menggunakan kombinasi pembatasan kecepatan dan CAPTCHA dan tantangan browser latar belakang.
+ **`TGT_`**— Aturan yang memberikan perlindungan yang ditargetkan memiliki nama yang dimulai dengan`TGT_`. Semua perlindungan yang ditargetkan menggunakan teknik deteksi seperti interogasi browser, sidik jari, dan heuristik perilaku untuk mengidentifikasi lalu lintas bot yang buruk.
+ **`TGT_ML_`**— Aturan perlindungan yang ditargetkan yang menggunakan pembelajaran mesin memiliki nama yang dimulai dengan`TGT_ML_`. Aturan-aturan ini menggunakan analisis pembelajaran mesin otomatis dari statistik lalu lintas situs web untuk mendeteksi perilaku anomali yang menunjukkan aktivitas bot terdistribusi dan terkoordinasi. AWS WAF menganalisis statistik tentang lalu lintas situs web Anda seperti stempel waktu, karakteristik browser, dan URL sebelumnya yang dikunjungi, untuk meningkatkan model pembelajaran mesin Kontrol Bot. Kemampuan pembelajaran mesin diaktifkan secara default, tetapi Anda dapat menonaktifkannya dalam konfigurasi grup aturan Anda. Ketika pembelajaran mesin dinonaktifkan, AWS WAF tidak mengevaluasi aturan-aturan ini.
1. Jika Anda menggunakan tingkat perlindungan yang ditargetkan dan Anda tidak AWS WAF ingin menggunakan pembelajaran mesin (ML) untuk menganalisis lalu lintas web untuk aktivitas bot terdistribusi dan terkoordinasi, nonaktifkan opsi pembelajaran mesin. Pembelajaran mesin diperlukan untuk aturan Kontrol Bot yang namanya dimulai dengan`TGT_ML_`. Untuk detail tentang aturan ini, lihat[Daftar aturan Bot Control](aws-managed-rule-groups-bot.md#aws-managed-rule-groups-bot-rules).
1. Tambahkan pernyataan cakupan ke bawah untuk grup aturan, untuk memuat biaya penggunaannya. Pernyataan cakupan ke bawah mempersempit kumpulan permintaan yang diperiksa oleh kelompok aturan. Misalnya kasus penggunaan, mulailah dengan [Contoh Kontrol Bot: Menggunakan Kontrol Bot hanya untuk halaman login](waf-bot-control-example-scope-down-login.md) dan[Contoh Kontrol Bot: Menggunakan Kontrol Bot hanya untuk konten dinamis](waf-bot-control-example-scope-down-dynamic-content.md).
1. Berikan konfigurasi tambahan apa pun yang Anda butuhkan untuk grup aturan.
1. Simpan perubahan Anda ke paket perlindungan (web ACL).
Sebelum Anda menerapkan implementasi Kontrol Bot Anda untuk lalu lintas produksi, uji dan sesuaikan di lingkungan pementasan atau pengujian hingga Anda merasa nyaman dengan potensi dampak terhadap lalu lintas Anda. Kemudian uji dan atur aturan dalam mode hitungan dengan lalu lintas produksi Anda sebelum mengaktifkannya. Lihat bagian yang mengikuti untuk panduan.
# Contoh skenario positif palsu dengan Kontrol AWS WAF Bot
Bagian ini memberikan contoh situasi di mana Anda mungkin menemukan positif palsu dengan Kontrol AWS WAF Bot.
Kami telah dengan hati-hati memilih aturan dalam grup aturan terkelola AWS WAF Bot Control untuk meminimalkan positif palsu. Kami menguji aturan terhadap lalu lintas global dan memantau dampaknya pada paket perlindungan uji (web ACLs). Namun, masih mungkin untuk mendapatkan positif palsu karena perubahan pola lalu lintas. Selain itu, beberapa kasus penggunaan diketahui menyebabkan positif palsu dan akan memerlukan penyesuaian khusus untuk lalu lintas web Anda.
Situasi di mana Anda mungkin menemukan positif palsu termasuk yang berikut:
+ Aplikasi seluler biasanya memiliki agen pengguna non-browser, yang diblokir `SignalNonBrowserUserAgent` aturan secara default. Jika Anda mengharapkan lalu lintas dari aplikasi seluler, atau lalu lintas sah lainnya dengan agen pengguna non-browser, Anda harus menambahkan pengecualian untuk mengizinkannya.
+ Anda mungkin mengandalkan beberapa lalu lintas bot tertentu untuk hal-hal seperti pemantauan uptime, pengujian integrasi, atau alat pemasaran. Jika Bot Control mengidentifikasi dan memblokir lalu lintas bot yang ingin Anda izinkan, Anda perlu mengubah penanganan dengan menambahkan aturan Anda sendiri. Meskipun ini bukan skenario positif palsu untuk semua pelanggan, jika itu untuk Anda, Anda harus menanganinya sama seperti positif palsu.
+ Grup aturan terkelola Bot Control memverifikasi bot menggunakan alamat IP dari. AWS WAF Jika Anda menggunakan Kontrol Bot dan Anda telah memverifikasi bot yang merutekan melalui proxy atau penyeimbang beban, Anda mungkin perlu mengizinkannya secara eksplisit menggunakan aturan khusus. Untuk informasi tentang cara membuat aturan kustom jenis ini, lihat[Menggunakan alamat IP yang diteruskan di AWS WAF](waf-rule-statement-forwarded-ip-address.md).
+ Aturan Kontrol Bot dengan tingkat positif palsu global yang rendah mungkin sangat memengaruhi perangkat atau aplikasi tertentu. Misalnya, dalam pengujian dan validasi, kami mungkin tidak mengamati permintaan dari aplikasi dengan volume lalu lintas rendah atau dari browser atau perangkat yang kurang umum.
+ Aturan Kontrol Bot yang memiliki tingkat positif palsu yang rendah secara historis mungkin telah meningkatkan positif palsu untuk lalu lintas yang valid. Ini mungkin karena pola lalu lintas baru atau atribut permintaan yang muncul dengan lalu lintas yang valid, menyebabkannya cocok dengan aturan yang tidak sebelumnya. Perubahan ini mungkin disebabkan oleh situasi seperti berikut:
+ Rincian lalu lintas yang diubah sebagai arus lalu lintas melalui peralatan jaringan, seperti penyeimbang beban atau jaringan distribusi konten (CDN).
+ Perubahan yang muncul dalam data lalu lintas, misalnya browser baru atau versi baru untuk browser yang ada.
Untuk informasi tentang cara menangani positif palsu yang mungkin Anda dapatkan dari grup aturan terkelola Kontrol AWS WAF Bot, lihat panduan di bagian berikut,[Menguji dan menerapkan Kontrol AWS WAF Bot](waf-bot-control-deploying.md).
# Menguji dan menerapkan Kontrol AWS WAF Bot
Bagian ini memberikan panduan umum untuk mengonfigurasi dan menguji implementasi Kontrol AWS WAF Bot untuk situs Anda. Langkah-langkah spesifik yang Anda pilih untuk diikuti akan tergantung pada kebutuhan, sumber daya, dan permintaan web yang Anda terima.
Informasi ini merupakan tambahan dari informasi umum tentang pengujian dan penyetelan yang disediakan di[Menguji dan menyetel perlindungan Anda AWS WAF](web-acl-testing.md).
**catatan**
AWS Aturan Terkelola dirancang untuk melindungi Anda dari ancaman web umum. Bila digunakan sesuai dengan dokumentasi, grup aturan Aturan AWS Terkelola menambahkan lapisan keamanan lain untuk aplikasi Anda. Namun, grup aturan Aturan AWS Terkelola tidak dimaksudkan sebagai pengganti tanggung jawab keamanan Anda, yang ditentukan oleh AWS sumber daya yang Anda pilih. Lihat [Model Tanggung Jawab Bersama](https://aws.amazon.com/compliance/shared-responsibility-model/) untuk memastikan bahwa sumber daya Anda AWS dilindungi dengan benar.
**Risiko lalu lintas produksi**
Sebelum Anda menerapkan implementasi Kontrol Bot Anda untuk lalu lintas produksi, uji dan sesuaikan di lingkungan pementasan atau pengujian hingga Anda merasa nyaman dengan potensi dampak terhadap lalu lintas Anda. Kemudian uji dan atur aturan dalam mode hitungan dengan lalu lintas produksi Anda sebelum mengaktifkannya.
Panduan ini ditujukan untuk pengguna yang tahu secara umum cara membuat dan mengelola paket AWS WAF perlindungan (web ACLs), aturan, dan grup aturan. Topik-topik tersebut dibahas di bagian sebelumnya dari panduan ini.
**Untuk mengkonfigurasi dan menguji implementasi Bot Control**
Lakukan langkah-langkah ini terlebih dahulu di lingkungan pengujian, kemudian dalam produksi.
1.
**Tambahkan grup aturan terkelola Bot Control**
**catatan**
Anda akan dikenakan biaya tambahan saat menggunakan grup aturan terkelola ini. Untuk informasi selengkapnya, silakan lihat [Harga AWS WAF](https://aws.amazon.com/waf/pricing/).
Tambahkan grup AWS aturan terkelola `AWSManagedRulesBotControlRuleSet` ke paket perlindungan baru atau yang sudah ada (web ACL) dan konfigurasikan agar tidak mengubah perilaku paket perlindungan saat ini (ACL web).
+ Saat Anda menambahkan grup aturan terkelola, edit dan lakukan hal berikut:
+ Di panel **tingkat Inspeksi**, pilih tingkat inspeksi yang ingin Anda gunakan.
+ **Umum** - Mendeteksi berbagai bot pengenal diri, seperti kerangka kerja pengikisan web, mesin pencari, dan browser otomatis. Perlindungan Bot Control pada tingkat ini mengidentifikasi bot umum menggunakan teknik deteksi bot tradisional, seperti analisis data permintaan statis. Aturan memberi label lalu lintas dari bot ini dan memblokir yang tidak dapat mereka verifikasi.
+ **Ditargetkan** - Termasuk perlindungan tingkat umum dan menambahkan deteksi bertarget untuk bot canggih yang tidak mengidentifikasi diri. Perlindungan yang ditargetkan mengurangi aktivitas bot menggunakan kombinasi pembatasan laju dan CAPTCHA dan tantangan browser latar belakang.
+ **`TGT_`**— Aturan yang memberikan perlindungan yang ditargetkan memiliki nama yang dimulai dengan`TGT_`. Semua perlindungan yang ditargetkan menggunakan teknik deteksi seperti interogasi browser, sidik jari, dan heuristik perilaku untuk mengidentifikasi lalu lintas bot yang buruk.
+ **`TGT_ML_`**— Aturan perlindungan yang ditargetkan yang menggunakan pembelajaran mesin memiliki nama yang dimulai dengan`TGT_ML_`. Aturan-aturan ini menggunakan analisis pembelajaran mesin otomatis dari statistik lalu lintas situs web untuk mendeteksi perilaku anomali yang menunjukkan aktivitas bot terdistribusi dan terkoordinasi. AWS WAF menganalisis statistik tentang lalu lintas situs web Anda seperti stempel waktu, karakteristik browser, dan URL sebelumnya yang dikunjungi, untuk meningkatkan model pembelajaran mesin Kontrol Bot. Kemampuan pembelajaran mesin diaktifkan secara default, tetapi Anda dapat menonaktifkannya dalam konfigurasi grup aturan. Ketika pembelajaran mesin dinonaktifkan, AWS WAF tidak mengevaluasi aturan ini.
Untuk informasi lebih lanjut tentang pilihan ini, lihat[AWS WAF Grup aturan Bot Control](aws-managed-rule-groups-bot.md).
+ Di panel **Aturan**, buka dropdown **Override all rule actions** dan pilih. **Count** Dengan konfigurasi ini, AWS WAF mengevaluasi permintaan terhadap semua aturan dalam grup aturan dan hanya menghitung kecocokan yang dihasilkan, sambil tetap menambahkan label ke permintaan. Untuk informasi selengkapnya, lihat [Mengesampingkan tindakan aturan dalam grup aturan](web-acl-rule-group-settings.md#web-acl-rule-group-rule-action-override).
Dengan penggantian ini, Anda dapat memantau dampak potensial dari aturan Kontrol Bot pada lalu lintas Anda, untuk menentukan apakah Anda ingin menambahkan pengecualian untuk hal-hal seperti kasus penggunaan internal atau bot yang diinginkan.
+ Posisikan grup aturan sehingga dievaluasi terakhir dalam paket perlindungan (web ACL), dengan pengaturan prioritas yang secara numerik lebih tinggi daripada aturan atau grup aturan lain yang sudah Anda gunakan. Untuk informasi selengkapnya, lihat [Menetapkan prioritas aturan](web-acl-processing-order.md).
Dengan cara ini, penanganan lalu lintas Anda saat ini tidak terganggu. Misalnya, jika Anda memiliki aturan yang mendeteksi lalu lintas berbahaya seperti injeksi SQL atau skrip lintas situs, mereka akan terus mendeteksi dan mencatat permintaan tersebut. Sebagai alternatif, jika Anda memiliki aturan yang memungkinkan lalu lintas non-berbahaya yang diketahui, mereka dapat terus mengizinkan lalu lintas itu, tanpa diblokir oleh grup aturan yang dikelola Bot Control. Anda mungkin memutuskan untuk menyesuaikan urutan pemrosesan selama aktivitas pengujian dan penyetelan Anda, tetapi ini adalah cara yang baik untuk memulai.
1.
**Aktifkan logging dan metrik untuk paket perlindungan (web ACL)**
Jika diperlukan, konfigurasikan pencatatan, pengumpulan data Amazon Security Lake, pengambilan sampel permintaan, dan CloudWatch metrik Amazon untuk paket perlindungan (web ACL). Anda dapat menggunakan alat visibilitas ini untuk memantau interaksi grup aturan terkelola Kontrol Bot dengan lalu lintas Anda.
+ Untuk informasi tentang pencatatan, lihat[Lalu lintas paket AWS WAF perlindungan pencatatan (web ACL)](logging.md).
+ Untuk informasi tentang Amazon Security Lake, lihat [Apa itu Amazon Security Lake?](https://docs.aws.amazon.com/security-lake/latest/userguide/what-is-security-lake.html) dan [Mengumpulkan data dari AWS layanan](https://docs.aws.amazon.com/security-lake/latest/userguide/internal-sources.html) di *panduan pengguna Amazon Security Lake*.
+ Untuk informasi tentang CloudWatch metrik Amazon, lihat[Pemantauan CloudWatch dengan Amazon](monitoring-cloudwatch.md).
+ Untuk informasi tentang pengambilan sampel permintaan web, lihat[Melihat contoh permintaan web](web-acl-testing-view-sample.md).
1.
**Kaitkan paket perlindungan (web ACL) dengan sumber daya**
Jika paket perlindungan (web ACL) belum dikaitkan dengan sumber daya, kaitkan. Untuk informasi, lihat [Mengaitkan atau memisahkan perlindungan dengan sumber daya AWS](web-acl-associating-aws-resource.md).
1.
**Pantau lalu lintas dan kecocokan aturan Kontrol Bot**
Pastikan lalu lintas mengalir dan aturan grup aturan terkelola Bot Control menambahkan label ke permintaan web yang cocok. Anda dapat melihat label di log dan melihat metrik bot dan label di metrik Amazon CloudWatch . Di log, aturan yang telah Anda ganti untuk dihitung dalam grup aturan muncul di `action` set to count, dan `ruleGroupList` dengan `overriddenAction` menunjukkan tindakan aturan yang dikonfigurasi yang Anda timpa.
**catatan**
Grup aturan terkelola Bot Control memverifikasi bot menggunakan alamat IP dari. AWS WAF Jika Anda menggunakan Kontrol Bot dan Anda telah memverifikasi bot yang merutekan melalui proxy atau penyeimbang beban, Anda mungkin perlu mengizinkannya secara eksplisit menggunakan aturan khusus. Untuk informasi tentang cara membuat aturan kustom, lihat[Menggunakan alamat IP yang diteruskan di AWS WAF](waf-rule-statement-forwarded-ip-address.md). Untuk informasi tentang cara menggunakan aturan untuk menyesuaikan penanganan permintaan web Kontrol Bot, lihat langkah berikutnya.
Tinjau penanganan permintaan web dengan hati-hati untuk setiap positif palsu yang mungkin perlu Anda kurangi dengan penanganan khusus. Untuk contoh positif palsu, lihat[Contoh skenario positif palsu dengan Kontrol AWS WAF Bot](waf-bot-control-false-positives.md).
1.
**Kustomisasi penanganan permintaan web Kontrol Bot**
Jika diperlukan, tambahkan aturan Anda sendiri yang secara eksplisit mengizinkan atau memblokir permintaan, untuk mengubah cara aturan Kontrol Bot akan menanganinya.
Bagaimana Anda melakukan ini tergantung pada kasus penggunaan Anda, tetapi berikut ini adalah solusi umum:
+ Izinkan permintaan secara eksplisit dengan aturan yang Anda tambahkan sebelum grup aturan terkelola Kontrol Bot. Dengan ini, permintaan yang diizinkan tidak pernah mencapai grup aturan untuk evaluasi. Ini dapat membantu menahan biaya penggunaan grup aturan terkelola Bot Control.
+ Kecualikan permintaan dari evaluasi Bot Control dengan menambahkan pernyataan scope-down di dalam pernyataan grup aturan terkelola Bot Control. Ini berfungsi sama dengan opsi sebelumnya. Ini dapat membantu menahan biaya penggunaan grup aturan terkelola Kontrol Bot karena permintaan yang tidak cocok dengan pernyataan cakupan bawah tidak pernah mencapai evaluasi grup aturan. Untuk informasi tentang pernyataan cakupan bawah, lihat. [Menggunakan pernyataan scope-down di AWS WAF](waf-rule-scope-down-statements.md)
Untuk contoh , lihat yang berikut ini:
+ [Tidak termasuk rentang IP dari manajemen bot](waf-bot-control-example-scope-down-ip.md)
+ [Mengizinkan lalu lintas dari bot yang Anda kontrol](waf-bot-control-example-scope-down-your-bot.md)
+ Gunakan label Kontrol Bot dalam penanganan permintaan untuk mengizinkan atau memblokir permintaan. Tambahkan aturan pencocokan label setelah grup aturan terkelola Kontrol Bot untuk memfilter permintaan berlabel yang ingin Anda izinkan dari permintaan yang ingin Anda blokir.
Setelah pengujian, pertahankan aturan Kontrol Bot terkait dalam mode hitungan, dan pertahankan keputusan penanganan permintaan dalam aturan kustom Anda. Untuk informasi tentang pernyataan pencocokan label, lihat[Pernyataan aturan pencocokan label](waf-rule-statement-type-label-match.md).
Untuk contoh jenis kustomisasi ini, lihat berikut ini:
+ [Membuat pengecualian untuk agen pengguna yang diblokir](waf-bot-control-example-user-agent-exception.md)
+ [Mengizinkan bot tertentu yang diblokir](waf-bot-control-example-allow-blocked-bot.md)
+ [Memblokir bot terverifikasi](waf-bot-control-example-block-verified-bots.md)
Untuk contoh tambahan, lihat [AWS WAF Contoh Kontrol Bot](waf-bot-control-examples.md).
1.
**Jika diperlukan, aktifkan pengaturan grup aturan terkelola Kontrol Bot**
Bergantung pada situasi Anda, Anda mungkin telah memutuskan bahwa Anda ingin meninggalkan beberapa aturan Kontrol Bot dalam mode hitungan atau dengan penggantian tindakan yang berbeda. Untuk aturan yang ingin Anda jalankan saat dikonfigurasi di dalam grup aturan, aktifkan konfigurasi aturan reguler. Untuk melakukannya, edit pernyataan grup aturan di paket perlindungan Anda (web ACL) dan buat perubahan di panel **Aturan**.
# AWS WAF Contoh Kontrol Bot
Bagian ini menunjukkan contoh konfigurasi yang memenuhi berbagai kasus penggunaan umum untuk implementasi AWS WAF Bot Control.
Setiap contoh memberikan deskripsi kasus penggunaan dan kemudian menunjukkan solusi dalam daftar JSON untuk aturan yang dikonfigurasi khusus.
**catatan**
Daftar JSON yang ditampilkan dalam contoh ini dibuat di konsol dengan mengonfigurasi aturan dan kemudian mengeditnya menggunakan editor **Rule JSON**.
**Topics**
+ [Contoh Kontrol Bot: Konfigurasi sederhana](waf-bot-control-example-basic.md)
+ [Contoh Kontrol Bot: Secara eksplisit mengizinkan bot terverifikasi](waf-bot-control-example-allow-verified-bots.md)
+ [Contoh Kontrol Bot: Memblokir bot terverifikasi](waf-bot-control-example-block-verified-bots.md)
+ [Contoh Kontrol Bot: Mengizinkan bot tertentu yang diblokir](waf-bot-control-example-allow-blocked-bot.md)
+ [Contoh Kontrol Bot: Membuat pengecualian untuk agen pengguna yang diblokir](waf-bot-control-example-user-agent-exception.md)
+ [Contoh Kontrol Bot: Menggunakan Kontrol Bot hanya untuk halaman login](waf-bot-control-example-scope-down-login.md)
+ [Contoh Kontrol Bot: Menggunakan Kontrol Bot hanya untuk konten dinamis](waf-bot-control-example-scope-down-dynamic-content.md)
+ [Contoh Kontrol Bot: Tidak termasuk rentang IP dari manajemen bot](waf-bot-control-example-scope-down-ip.md)
+ [Contoh Kontrol Bot: Mengizinkan lalu lintas dari bot yang Anda kendalikan](waf-bot-control-example-scope-down-your-bot.md)
+ [Contoh Kontrol Bot: Mengaktifkan tingkat inspeksi yang ditargetkan](waf-bot-control-example-targeted-inspection-level.md)
+ [Contoh Kontrol Bot: Menggunakan dua pernyataan untuk membatasi penggunaan tingkat inspeksi yang ditargetkan](waf-bot-control-example-common-and-targeted-inspection-level.md)
# Contoh Kontrol Bot: Konfigurasi sederhana
Daftar JSON berikut menunjukkan contoh paket perlindungan (web ACL) dengan grup aturan terkelola AWS WAF Bot Control. Perhatikan konfigurasi visibilitas, yang menyebabkan AWS WAF untuk menyimpan sampel permintaan dan metrik untuk tujuan pemantauan.
```
{
"Name": "Bot-WebACL",
"Id": "...",
"ARN": "...",
"DefaultAction": {
"Allow": {}
},
"Description": "Bot-WebACL",
"Rules": [
{
...
},
{
"Name": "AWS-AWSBotControl-Example",
"Priority": 5,
"Statement": {
"ManagedRuleGroupStatement": {
"VendorName": "AWS",
"Name": "AWSManagedRulesBotControlRuleSet",
"ManagedRuleGroupConfigs": [
{
"AWSManagedRulesBotControlRuleSet": {
"InspectionLevel": "COMMON"
}
}
],
"RuleActionOverrides": [],
"ExcludedRules": []
},
"VisibilityConfig": {
"SampledRequestsEnabled": true,
"CloudWatchMetricsEnabled": true,
"MetricName": "AWS-AWSBotControl-Example"
}
}
}
],
"VisibilityConfig": {
...
},
"Capacity": 1496,
"ManagedByFirewallManager": false,
"RetrofittedByFirewallManager": false
}
```
# Contoh Kontrol Bot: Secara eksplisit mengizinkan bot terverifikasi
AWS WAF Bot Control tidak memblokir bot yang dikenal sebagai bot umum dan dapat diverifikasi. AWS Ketika Bot Control mengidentifikasi permintaan web sebagai berasal dari bot terverifikasi, ia menambahkan label yang memberi nama bot dan label yang menunjukkan bahwa itu adalah bot terverifikasi. Bot Control tidak menambahkan label lain, seperti label sinyal, untuk mencegah bot bagus yang diketahui diblokir.
Anda mungkin memiliki AWS WAF aturan lain yang memblokir bot terverifikasi. Jika Anda ingin memastikan bahwa bot terverifikasi diizinkan, tambahkan aturan khusus untuk mengizinkannya berdasarkan label Kontrol Bot. Aturan baru Anda harus berjalan setelah grup aturan terkelola Kontrol Bot, sehingga label tersedia untuk dicocokkan.
Aturan berikut secara eksplisit memungkinkan bot terverifikasi.
```
{
"Name": "match_rule",
"Statement": {
"LabelMatchStatement": {
"Scope": "LABEL",
"Key": "awswaf:managed:aws:bot-control:bot:verified"
}
},
"RuleLabels": [],
"Action": {
"Allow": {}
}
}
```
# Contoh Kontrol Bot: Memblokir bot terverifikasi
Untuk memblokir bot terverifikasi, Anda harus menambahkan aturan untuk memblokirnya yang berjalan setelah grup aturan terkelola Kontrol AWS WAF Bot. Untuk melakukan ini, identifikasi nama bot yang ingin Anda blokir dan gunakan pernyataan pencocokan label untuk mengidentifikasi dan memblokirnya. Jika Anda hanya ingin memblokir semua bot yang diverifikasi, Anda dapat menghilangkan kecocokan terhadap label. `bot:name:`
Aturan berikut hanya memblokir bot yang `bingbot` diverifikasi. Aturan ini harus berjalan setelah grup aturan terkelola Bot Control.
```
{
"Name": "match_rule",
"Statement": {
"AndStatement": {
"Statements": [
{
"LabelMatchStatement": {
"Scope": "LABEL",
"Key": "awswaf:managed:aws:bot-control:bot:name:bingbot"
}
},
{
"LabelMatchStatement": {
"Scope": "LABEL",
"Key": "awswaf:managed:aws:bot-control:bot:verified"
}
}
]
}
},
"RuleLabels": [],
"Action": {
"Block": {}
}
}
```
Aturan berikut memblokir semua bot yang diverifikasi.
```
{
"Name": "match_rule",
"Statement": {
"LabelMatchStatement": {
"Scope": "LABEL",
"Key": "awswaf:managed:aws:bot-control:bot:verified"
}
},
"RuleLabels": [],
"Action": {
"Block": {}
}
}
```
# Contoh Kontrol Bot: Mengizinkan bot tertentu yang diblokir
Mungkin saja bot diblokir oleh lebih dari satu aturan Kontrol Bot. Jalankan melalui prosedur berikut untuk setiap aturan pemblokiran.
Jika aturan Kontrol AWS WAF Bot memblokir bot yang tidak ingin Anda blokir, lakukan hal berikut:
1. Identifikasi aturan Kontrol Bot yang memblokir bot dengan memeriksa log. Aturan pemblokiran akan ditentukan dalam log di bidang yang namanya dimulai dengan`terminatingRule`. Untuk informasi tentang log paket perlindungan (web ACL), lihat[Lalu lintas paket AWS WAF perlindungan pencatatan (web ACL)](logging.md). Perhatikan label yang ditambahkan aturan ke permintaan.
1. Dalam paket perlindungan Anda (web ACL), timpa tindakan aturan pemblokiran untuk dihitung. Untuk melakukan ini di konsol, edit aturan grup aturan di paket perlindungan (web ACL) dan pilih penggantian tindakan aturan Count untuk aturan tersebut. Ini memastikan bahwa bot tidak diblokir oleh aturan, tetapi aturan akan tetap menerapkan labelnya untuk permintaan yang cocok.
1. Tambahkan aturan pencocokan label ke paket perlindungan Anda (ACL web), setelah grup aturan terkelola Bot Control. Konfigurasikan aturan agar sesuai dengan label aturan yang diganti dan untuk memblokir semua permintaan yang cocok kecuali bot yang tidak ingin Anda blokir.
Paket perlindungan Anda (web ACL) sekarang dikonfigurasi sehingga bot yang ingin Anda izinkan tidak lagi diblokir oleh aturan pemblokiran yang Anda identifikasi melalui log.
Periksa lalu lintas dan log Anda lagi, untuk memastikan bahwa bot diizinkan masuk. Jika tidak, jalankan kembali prosedur di atas.
Misalnya, Anda ingin memblokir semua bot pemantauan kecuali untuk`pingdom`. Dalam hal ini, Anda mengganti `CategoryMonitoring` aturan untuk menghitung dan kemudian menulis aturan untuk memblokir semua bot pemantauan kecuali yang memiliki label nama bot. `pingdom`
Aturan berikut menggunakan grup aturan terkelola Bot Control tetapi mengesampingkan tindakan aturan `CategoryMonitoring` untuk dihitung. Aturan pemantauan kategori menerapkan labelnya seperti biasa untuk permintaan yang cocok, tetapi hanya menghitungnya alih-alih melakukan tindakan pemblokiran yang biasa.
```
{
"Name": "AWS-AWSBotControl-Example",
"Priority": 5,
"Statement": {
"ManagedRuleGroupStatement": {
"VendorName": "AWS",
"Name": "AWSManagedRulesBotControlRuleSet",
"ManagedRuleGroupConfigs": [
{
"AWSManagedRulesBotControlRuleSet": {
"InspectionLevel": "COMMON"
}
}
],
"RuleActionOverrides": [
{
"ActionToUse": {
"Count": {}
},
"Name": "CategoryMonitoring"
}
],
"ExcludedRules": []
}
},
"VisibilityConfig": {
"SampledRequestsEnabled": true,
"CloudWatchMetricsEnabled": true,
"MetricName": "AWS-AWSBotControl-Example"
}
}
```
Aturan berikut cocok dengan label pemantauan kategori yang ditambahkan `CategoryMonitoring` aturan sebelumnya ke permintaan web yang cocok. Di antara permintaan pemantauan kategori, aturan ini memblokir semua kecuali yang memiliki label untuk nama bot`pingdom`.
Aturan berikut harus dijalankan setelah grup aturan terkelola Bot Control sebelumnya dalam urutan pemrosesan paket perlindungan (web ACL).
```
{
"Name": "match_rule",
"Priority": 10,
"Statement": {
"AndStatement": {
"Statements": [
{
"LabelMatchStatement": {
"Scope": "LABEL",
"Key": "awswaf:managed:aws:bot-control:bot:category:monitoring"
}
},
{
"NotStatement": {
"Statement": {
"LabelMatchStatement": {
"Scope": "LABEL",
"Key": "awswaf:managed:aws:bot-control:bot:name:pingdom"
}
}
}
}
]
}
},
"Action": {
"Block": {}
},
"VisibilityConfig": {
"SampledRequestsEnabled": true,
"CloudWatchMetricsEnabled": true,
"MetricName": "match_rule"
}
}
```
# Contoh Kontrol Bot: Membuat pengecualian untuk agen pengguna yang diblokir
Jika lalu lintas dari beberapa agen pengguna non-browser diblokir secara keliru, Anda dapat membuat pengecualian dengan menetapkan aturan Kontrol AWS WAF Bot yang menyinggung `SignalNonBrowserUserAgent` ke Hitung dan kemudian menggabungkan pelabelan aturan dengan kriteria pengecualian Anda.
**catatan**
Aplikasi seluler biasanya memiliki agen pengguna non-browser, yang diblokir `SignalNonBrowserUserAgent` aturan secara default.
Aturan berikut menggunakan grup aturan terkelola Bot Control tetapi mengesampingkan tindakan aturan `SignalNonBrowserUserAgent` untuk Menghitung. Aturan sinyal menerapkan labelnya seperti biasa untuk permintaan yang cocok, tetapi hanya menghitungnya alih-alih melakukan tindakan blok yang biasa.
```
{
"Name": "AWS-AWSBotControl-Example",
"Priority": 5,
"Statement": {
"ManagedRuleGroupStatement": {
"VendorName": "AWS",
"Name": "AWSManagedRulesBotControlRuleSet",
"ManagedRuleGroupConfigs": [
{
"AWSManagedRulesBotControlRuleSet": {
"InspectionLevel": "COMMON"
}
}
],
"RuleActionOverrides": [
{
"ActionToUse": {
"Count": {}
},
"Name": "SignalNonBrowserUserAgent"
}
],
"ExcludedRules": []
}
},
"VisibilityConfig": {
"SampledRequestsEnabled": true,
"CloudWatchMetricsEnabled": true,
"MetricName": "AWS-AWSBotControl-Example"
}
}
```
Aturan berikut cocok dengan label sinyal yang ditambahkan `SignalNonBrowserUserAgent` aturan Kontrol Bot ke permintaan webnya yang cocok. Di antara permintaan sinyal, aturan ini memblokir semua kecuali yang memiliki agen pengguna yang ingin kami izinkan.
Aturan berikut harus dijalankan setelah grup aturan terkelola Kontrol Bot sebelumnya dalam urutan pemrosesan paket perlindungan (web ACL).
```
{
"Name": "match_rule",
"Statement": {
"AndStatement": {
"Statements": [
{
"LabelMatchStatement": {
"Scope": "LABEL",
"Key": "awswaf:managed:aws:bot-control:signal:non_browser_user_agent"
}
},
{
"NotStatement": {
"Statement": {
"ByteMatchStatement": {
"FieldToMatch": {
"SingleHeader": {
"Name": "user-agent"
}
},
"PositionalConstraint": "EXACTLY",
"SearchString": "PostmanRuntime/7.29.2",
"TextTransformations": [
{
"Priority": 0,
"Type": "NONE"
}
]
}
}
}
}
]
}
},
"RuleLabels": [],
"Action": {
"Block": {}
},
"VisibilityConfig": {
"SampledRequestsEnabled": true,
"CloudWatchMetricsEnabled": true,
"MetricName": "match_rule"
}
}
```
# Contoh Kontrol Bot: Menggunakan Kontrol Bot hanya untuk halaman login
Contoh berikut menggunakan pernyataan scope-down untuk menerapkan AWS WAF Bot Control hanya untuk lalu lintas yang datang ke halaman login situs web, yang diidentifikasi oleh jalur URI. `login` Jalur URI ke halaman login Anda mungkin berbeda dari contoh, tergantung pada aplikasi dan lingkungan Anda.
```
{
"Name": "AWS-AWSBotControl-Example",
"Priority": 5,
"Statement": {
"ManagedRuleGroupStatement": {
"VendorName": "AWS",
"Name": "AWSManagedRulesBotControlRuleSet",
"ManagedRuleGroupConfigs": [
{
"AWSManagedRulesBotControlRuleSet": {
"InspectionLevel": "COMMON"
}
}
],
"RuleActionOverrides": [],
"ExcludedRules": []
},
"VisibilityConfig": {
"SampledRequestsEnabled": true,
"CloudWatchMetricsEnabled": true,
"MetricName": "AWS-AWSBotControl-Example"
},
"ScopeDownStatement": {
"ByteMatchStatement": {
"SearchString": "login",
"FieldToMatch": {
"UriPath": {}
},
"TextTransformations": [
{
"Priority": 0,
"Type": "NONE"
}
],
"PositionalConstraint": "CONTAINS"
}
}
}
}
```
# Contoh Kontrol Bot: Menggunakan Kontrol Bot hanya untuk konten dinamis
Contoh ini menggunakan pernyataan scope-down untuk menerapkan AWS WAF Bot Control hanya untuk konten dinamis.
Pernyataan scope-down mengecualikan konten statis dengan meniadakan hasil kecocokan untuk kumpulan pola regex:
+ Set pola regex dikonfigurasi agar sesuai dengan ekstensi konten *statis*. Misalnya, spesifikasi set pola regex mungkin. `(?i)\.(jpe?g|gif|png|svg|ico|css|js|woff2?)$` Untuk informasi tentang kumpulan pola regex dan pernyataan, lihat. [Pernyataan aturan kecocokan set pola Regex](waf-rule-statement-type-regex-pattern-set-match.md)
+ Dalam pernyataan scope-down, kami mengecualikan konten statis yang cocok dengan menyarangkan pernyataan set pola regex di dalam pernyataan. `NOT` Untuk informasi tentang `NOT` pernyataan tersebut, lihat[NOTpernyataan aturan](waf-rule-statement-type-not.md).
```
{
"Name": "AWS-AWSBotControl-Example",
"Priority": 5,
"Statement": {
"ManagedRuleGroupStatement": {
"VendorName": "AWS",
"Name": "AWSManagedRulesBotControlRuleSet",
"ManagedRuleGroupConfigs": [
{
"AWSManagedRulesBotControlRuleSet": {
"InspectionLevel": "COMMON"
}
}
],
"RuleActionOverrides": [],
"ExcludedRules": []
},
"VisibilityConfig": {
"SampledRequestsEnabled": true,
"CloudWatchMetricsEnabled": true,
"MetricName": "AWS-AWSBotControl-Example"
},
"ScopeDownStatement": {
"NotStatement": {
"Statement": {
"RegexPatternSetReferenceStatement": {
"ARN": "arn:aws:wafv2:us-east-1:123456789:regional/regexpatternset/excludeset/00000000-0000-0000-0000-000000000000",
"FieldToMatch": {
"UriPath": {}
},
"TextTransformations": [
{
"Priority": 0,
"Type": "NONE"
}
]
}
}
}
}
}
}
```
# Contoh Kontrol Bot: Tidak termasuk rentang IP dari manajemen bot
Jika Anda ingin mengecualikan subset lalu lintas web dari manajemen Kontrol AWS WAF Bot, dan Anda dapat mengidentifikasi subset tersebut menggunakan pernyataan aturan, lalu kecualikan dengan menambahkan pernyataan cakupan ke bawah ke pernyataan grup aturan terkelola Kontrol Bot Anda.
Aturan berikut melakukan manajemen bot Kontrol Bot normal pada semua lalu lintas web kecuali untuk permintaan web yang berasal dari rentang alamat IP tertentu.
```
{
"Name": "AWS-AWSBotControl-Example",
"Priority": 5,
"Statement": {
"ManagedRuleGroupStatement": {
"VendorName": "AWS",
"Name": "AWSManagedRulesBotControlRuleSet",
"ManagedRuleGroupConfigs": [
{
"AWSManagedRulesBotControlRuleSet": {
"InspectionLevel": "COMMON"
}
}
],
"RuleActionOverrides": [],
"ExcludedRules": []
},
"VisibilityConfig": {
"SampledRequestsEnabled": true,
"CloudWatchMetricsEnabled": true,
"MetricName": "AWS-AWSBotControl-Example"
},
"ScopeDownStatement": {
"NotStatement": {
"Statement": {
"IPSetReferenceStatement": {
"ARN": "arn:aws:wafv2:us-east-1:123456789:regional/ipset/friendlyips/00000000-0000-0000-0000-000000000000"
}
}
}
}
}
}
```
# Contoh Kontrol Bot: Mengizinkan lalu lintas dari bot yang Anda kendalikan
Anda dapat mengonfigurasi beberapa bot pemantauan situs dan bot khusus untuk mengirim header khusus. Jika Anda ingin mengizinkan lalu lintas dari jenis bot ini, Anda dapat mengonfigurasinya untuk menambahkan rahasia bersama di header. Anda kemudian dapat mengecualikan pesan yang memiliki header dengan menambahkan pernyataan scope-down ke pernyataan grup aturan terkelola AWS WAF Bot Control.
Contoh aturan berikut mengecualikan lalu lintas dengan header rahasia dari inspeksi Bot Control.
```
{
"Name": "AWS-AWSBotControl-Example",
"Priority": 5,
"Statement": {
"ManagedRuleGroupStatement": {
"VendorName": "AWS",
"Name": "AWSManagedRulesBotControlRuleSet",
"ManagedRuleGroupConfigs": [
{
"AWSManagedRulesBotControlRuleSet": {
"InspectionLevel": "COMMON"
}
}
],
"RuleActionOverrides": [],
"ExcludedRules": []
},
"VisibilityConfig": {
"SampledRequestsEnabled": true,
"CloudWatchMetricsEnabled": true,
"MetricName": "AWS-AWSBotControl-Example"
},
"ScopeDownStatement": {
"NotStatement": {
"Statement": {
"ByteMatchStatement": {
"SearchString": "YSBzZWNyZXQ=",
"FieldToMatch": {
"SingleHeader": {
"Name": "x-bypass-secret"
}
},
"TextTransformations": [
{
"Priority": 0,
"Type": "NONE"
}
],
"PositionalConstraint": "EXACTLY"
}
}
}
}
}
}
```
# Contoh Kontrol Bot: Mengaktifkan tingkat inspeksi yang ditargetkan
Untuk tingkat perlindungan yang ditingkatkan, Anda dapat mengaktifkan tingkat inspeksi yang ditargetkan di grup aturan terkelola Kontrol AWS WAF Bot Anda.
Dalam contoh berikut, fitur pembelajaran mesin diaktifkan. Anda dapat memilih keluar dari perilaku ini dengan menyetel `EnableMachineLearning` ke`false`.
```
{
"Name": "AWS-AWSBotControl-Example",
"Priority": 5,
"Statement": {
"ManagedRuleGroupStatement": {
"VendorName": "AWS",
"Name": "AWSManagedRulesBotControlRuleSet",
"ManagedRuleGroupConfigs": [
{
"AWSManagedRulesBotControlRuleSet": {
"InspectionLevel": "TARGETED",
"EnableMachineLearning": true
}
}
],
"RuleActionOverrides": [],
"ExcludedRules": []
},
"VisibilityConfig": {
"SampledRequestsEnabled": true,
"CloudWatchMetricsEnabled": true,
"MetricName": "AWS-AWSBotControl-Example"
}
}
}
```
# Contoh Kontrol Bot: Menggunakan dua pernyataan untuk membatasi penggunaan tingkat inspeksi yang ditargetkan
Sebagai pengoptimalan biaya, Anda dapat menggunakan dua pernyataan grup aturan terkelola AWS WAF Bot Control dalam paket perlindungan (web ACL) Anda, dengan tingkat inspeksi dan pelingkupan terpisah. Misalnya, Anda dapat mencakup pernyataan tingkat inspeksi yang ditargetkan hanya ke titik akhir aplikasi yang lebih sensitif.
Dua pernyataan dalam contoh berikut memiliki pelingkupan yang saling eksklusif. Tanpa konfigurasi ini, permintaan dapat menghasilkan dua evaluasi Kontrol Bot yang ditagih.
**catatan**
Beberapa pernyataan referensi `AWSManagedRulesBotControlRuleSet` tidak didukung di editor visual di konsol. Sebagai gantinya, gunakan editor JSON.
```
{
"Name": "Bot-WebACL",
"Id": "...",
"ARN": "...",
"DefaultAction": {
"Allow": {}
},
"Description": "Bot-WebACL",
"Rules": [
{
...
},
{
"Name": "AWS-AWSBotControl-Common",
"Priority": 5,
"Statement": {
"ManagedRuleGroupStatement": {
"VendorName": "AWS",
"Name": "AWSManagedRulesBotControlRuleSet",
"ManagedRuleGroupConfigs": [
{
"AWSManagedRulesBotControlRuleSet": {
"InspectionLevel": "COMMON"
}
}
],
"RuleActionOverrides": [],
"ExcludedRules": []
},
"VisibilityConfig": {
"SampledRequestsEnabled": true,
"CloudWatchMetricsEnabled": true,
"MetricName": "AWS-AWSBotControl-Common"
},
"ScopeDownStatement": {
"NotStatement": {
"Statement": {
"ByteMatchStatement": {
"FieldToMatch": {
"UriPath": {}
},
"PositionalConstraint": "STARTS_WITH",
"SearchString": "/sensitive-endpoint",
"TextTransformations": [
{
"Type": "NONE",
"Priority": 0
}
]
}
}
}
}
}
},
{
"Name": "AWS-AWSBotControl-Targeted",
"Priority": 6,
"Statement": {
"ManagedRuleGroupStatement": {
"VendorName": "AWS",
"Name": "AWSManagedRulesBotControlRuleSet",
"ManagedRuleGroupConfigs": [
{
"AWSManagedRulesBotControlRuleSet": {
"InspectionLevel": "TARGETED",
"EnableMachineLearning": true
}
}
],
"RuleActionOverrides": [],
"ExcludedRules": []
},
"VisibilityConfig": {
"SampledRequestsEnabled": true,
"CloudWatchMetricsEnabled": true,
"MetricName": "AWS-AWSBotControl-Targeted"
},
"ScopeDownStatement": {
"Statement": {
"ByteMatchStatement": {
"FieldToMatch": {
"UriPath": {}
},
"PositionalConstraint": "STARTS_WITH",
"SearchString": "/sensitive-endpoint",
"TextTransformations": [
{
"Type": "NONE",
"Priority": 0
}
]
}
}
}
}
}
],
"VisibilityConfig": {
...
},
"Capacity": 1496,
"ManagedByFirewallManager": false,
"RetrofittedByFirewallManager": false
}
```