**Ti presentiamo una nuova esperienza di console per AWS WAF** Ora puoi utilizzare l'esperienza aggiornata per accedere alle AWS WAF funzionalità da qualsiasi punto della console. Per ulteriori dettagli, consulta [Lavorare con la console](https://docs.aws.amazon.com/waf/latest/developerguide/working-with-console.html). Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà. # AWS WAF Controllo dei bot AWS WAF Controllo dei botAWS WAF Bot Control Puoi monitorare e controllare il traffico dei bot con la nuova funzionalità AWS WAF Bot Control, che combina il gruppo di regole gestito da Bot Control con l'etichettatura delle richieste web, le istruzioni scope-down e il filtraggio dei log. Questa sezione spiega cosa fa Bot Control. Con Bot Control, puoi facilmente monitorare, bloccare o limitare la velocità di bot come scraper, scanner, crawler, monitor di stato e motori di ricerca. Se utilizzi il livello di ispezione mirato del gruppo di regole, puoi anche sfidare i bot che non si identificano automaticamente, rendendo più difficile e costoso per i bot malintenzionati operare contro il tuo sito web. Puoi proteggere le tue applicazioni utilizzando il gruppo di regole gestito di Bot Control da solo o in combinazione con altri gruppi di regole AWS Managed Rules e regole personalizzate AWS WAF . Bot Control include una console di controllo che mostra la quantità di traffico attuale proveniente dai bot, in base al campionamento delle richieste. Con il gruppo di regole gestito di Bot Control aggiunto al tuo pacchetto di protezione (ACL web), puoi intervenire contro il traffico dei bot e ricevere informazioni dettagliate e in tempo reale sul traffico bot comune che arriva alle tue applicazioni. **Nota** Quando utilizzi questo gruppo di regole gestito, ti vengono addebitati costi aggiuntivi. Per ulteriori informazioni, consultare [AWS WAF Prezzi](https://aws.amazon.com/waf/pricing/). Il gruppo di regole gestito da Bot Control fornisce un livello di protezione di base comune che aggiunge etichette ai bot che si identificano automaticamente, verifica i bot generalmente desiderati e rileva le firme dei bot ad alta affidabilità. Questo ti dà la possibilità di monitorare e controllare le categorie comuni di traffico dei bot. Il gruppo di regole Bot Control fornisce anche un livello di protezione mirato che aggiunge il rilevamento di bot sofisticati che non si identificano automaticamente. Le protezioni mirate utilizzano tecniche di rilevamento come l'interrogazione del browser, il rilevamento delle impronte digitali e l'euristica comportamentale per identificare il traffico di bot non valido. Inoltre, le protezioni mirate forniscono un'analisi opzionale automatizzata e basata sull'apprendimento automatico delle statistiche sul traffico del sito Web per rilevare le attività relative ai bot. Quando abiliti l'apprendimento automatico, AWS WAF utilizza le statistiche sul traffico del sito Web, come timestamp, caratteristiche del browser e URL visitato in precedenza, per migliorare il modello di apprendimento automatico di Bot Control. Quando AWS WAF valuta una richiesta web rispetto al gruppo di regole gestito da Bot Control, il gruppo di regole aggiunge etichette alle richieste che rileva come correlate al bot, ad esempio la categoria del bot e il nome del bot. Puoi abbinarle a queste etichette nelle tue AWS WAF regole per personalizzare la gestione. Le etichette generate dal gruppo di regole gestito da Bot Control sono incluse nei CloudWatch parametri di Amazon e nei log del pacchetto di protezione (Web ACL). Puoi anche utilizzare AWS Firewall Manager AWS WAF le policy per distribuire il gruppo di regole gestito da Bot Control tra le tue applicazioni in più account che fanno parte della tua organizzazione. AWS Organizations Per ulteriori informazioni sul gruppo di regole gestito da Bot Control, consulta[AWS WAF Gruppo di regole Bot Control](aws-managed-rule-groups-bot.md). ## Autenticazione tramite bot Web per agenti AI AWS WAF Bot Control ora supporta Web Bot Authentication (WBA) come metodo di verifica crittografica per bot e agenti AI che accedono alle vostre distribuzioni. CloudFront Questa funzionalità consente ai crawler e agli agenti di intelligenza artificiale legittimi di dimostrare la propria identità senza richiedere i tradizionali meccanismi di risposta alle sfide. Requisito di versione: `AWSManagedRulesBotControlRuleSet` Version\$14.0 o successiva. (La versione statica deve essere selezionata in modo esplicito). Per una tassonomia dettagliata delle etichette e il comportamento delle regole, consulta: + [AWS WAF Gruppo di regole Bot Control](aws-managed-rule-groups-bot.md) + [Etichettatura delle richieste Web in AWS WAF](waf-labels.md) + [AWS Registro delle modifiche di Managed Rules](aws-managed-rule-groups-changelog.md) # AWS WAF Componenti Bot Control Componenti Bot ControlAWS WAF Bot Control Il livello di protezione mirato del gruppo di regole gestito da Bot Control ora verifica il riutilizzo dei token tra gli indirizzi IP. Ora fornisce anche un'analisi opzionale con apprendimento automatico delle statistiche sul traffico per rilevare alcune attività relative ai bot. I componenti principali di un'implementazione di Bot Control sono i seguenti: + **`AWSManagedRulesBotControlRuleSet`**— Il gruppo di regole gestito da Bot Control le cui regole rilevano e gestiscono varie categorie di bot. Questo gruppo di regole aggiunge etichette alle richieste web che rileva come traffico di bot. **Nota** Quando utilizzi questo gruppo di regole gestito, ti vengono addebitati costi aggiuntivi. Per ulteriori informazioni, consultare [AWS WAF Prezzi](https://aws.amazon.com/waf/pricing/). Il gruppo di regole gestito da Bot Control offre due livelli di protezione tra cui puoi scegliere: + **Comune**: rileva una varietà di bot che si identificano automaticamente, come framework di web scraping, motori di ricerca e browser automatici. Le protezioni Bot Control a questo livello identificano i bot più comuni utilizzando tecniche di rilevamento dei bot tradizionali, come l'analisi statica dei dati delle richieste. Le regole etichettano il traffico proveniente da questi bot e bloccano quello che non possono verificare. + **Mirato**: include le protezioni di livello comune e aggiunge il rilevamento mirato per bot sofisticati che non si identificano automaticamente. Le protezioni mirate mitigano l'attività dei bot utilizzando una combinazione di limitazioni della velocità e sfide legate al CAPTCHA e al browser in background. + **`TGT_`**— Le regole che forniscono una protezione mirata hanno nomi che iniziano con. `TGT_` Tutte le protezioni mirate utilizzano tecniche di rilevamento come l'interrogazione del browser, il rilevamento delle impronte digitali e l'euristica comportamentale per identificare il traffico di bot non valido. + **`TGT_ML_`**— Le regole di protezione mirate che utilizzano l'apprendimento automatico hanno nomi che iniziano con. `TGT_ML_` Queste regole utilizzano l'analisi automatizzata e basata sull'apprendimento automatico delle statistiche sul traffico dei siti Web per rilevare comportamenti anomali indicativi di un'attività distribuita e coordinata dei bot. AWS WAF analizza le statistiche sul traffico del sito Web, ad esempio timestamp, caratteristiche del browser e URL visitato in precedenza, per migliorare il modello di apprendimento automatico di Bot Control. Le funzionalità di machine learning sono abilitate per impostazione predefinita, ma puoi disabilitarle nella configurazione del gruppo di regole. Quando l'apprendimento automatico è disabilitato, AWS WAF non valuta queste regole. Per ulteriori dettagli, incluse informazioni sulle regole del gruppo di regole, vedere[AWS WAF Gruppo di regole Bot Control](aws-managed-rule-groups-bot.md). È possibile includere questo gruppo di regole nel pacchetto di protezione (ACL Web) utilizzando una dichiarazione di riferimento per un gruppo di regole gestito e indicando il livello di ispezione che si desidera utilizzare. Per il livello di destinazione, indichi anche se abilitare l'apprendimento automatico. Per ulteriori informazioni sull'aggiunta di questo gruppo di regole gestite al pacchetto di protezione (Web ACL), consulta[Aggiungere il gruppo di regole gestito da AWS WAF Bot Control all'ACL web](waf-bot-control-rg-using.md). + **Bot Control dashboard**: la dashboard di monitoraggio dei bot per il tuo protection pack (web ACL), disponibile tramite la scheda Bot Control del protection pack (web ACL). Usa questa dashboard per monitorare il traffico e capire in che misura proviene da vari tipi di bot. Questo può essere un punto di partenza per personalizzare la gestione dei bot, come descritto in questo argomento. Puoi anche usarlo per verificare le modifiche e monitorare l'attività di vari bot e categorie di bot. + Dashboard di **analisi del traffico AI: dashboard** specializzato per l'analisi dettagliata delle attività di bot e agenti AI, disponibile tramite la scheda AI Traffic Analysis del Protection Pack (web ACL). Fornisce una maggiore visibilità sui modelli di traffico specifici dell'IA, sulle intenzioni dei bot e sui comportamenti di accesso oltre alle metriche standard di Bot Control. + **JavaScript e integrazione delle applicazioni mobili SDKs**: è necessario implementare AWS WAF JavaScript and mobile SDKs se si utilizza il livello di protezione mirato del gruppo di regole Bot Control. Le regole mirate utilizzano le informazioni fornite dai token SDKs presenti nel client per un rilevamento avanzato contro i bot dannosi. Per ulteriori informazioni su SDKs, vedere. [Integrazioni di applicazioni client in AWS WAF](waf-application-integration.md) + **Registrazione e metriche**: puoi monitorare il traffico dei bot e capire in che modo il gruppo di regole gestito di Bot Control valuta e gestisce il tuo traffico studiando i dati raccolti per il tuo pacchetto di protezione (ACL web) da logs AWS WAF , Amazon Security Lake e Amazon. CloudWatch Le etichette che Bot Control aggiunge alle tue richieste web sono incluse nei dati. Per informazioni su queste opzioni, consulta [Registrazione del traffico del pacchetto di AWS WAF protezione (Web ACL)](logging.md)[Monitoraggio con Amazon CloudWatch](monitoring-cloudwatch.md), e [Cos'è Amazon Security Lake?](https://docs.aws.amazon.com/security-lake/latest/userguide/what-is-security-lake.html) . A seconda delle tue esigenze e del traffico che vedi, potresti voler personalizzare l'implementazione di Bot Control. Di seguito sono riportate alcune delle opzioni più comunemente utilizzate. + Istruzioni **Scope-down: puoi** escludere parte del traffico dalle richieste Web valutate dal gruppo di regole gestito da Bot Control aggiungendo un'istruzione scope-down all'interno dell'istruzione di riferimento del gruppo di regole gestito da Bot Control. Un'istruzione scope-down può essere qualsiasi istruzione di regola nestable. Quando una richiesta non corrisponde all'istruzione scope-down, la AWS WAF valuta come non corrispondente all'istruzione di riferimento del gruppo di regole senza valutarla rispetto al gruppo di regole. Per ulteriori informazioni sulle istruzioni scope-down, vedere. [Utilizzo di istruzioni scope-down in AWS WAF](waf-rule-scope-down-statements.md) I costi per l'utilizzo del gruppo di regole gestito da Bot Control aumentano con il numero di richieste web che AWS WAF vengono valutate con esso. Puoi contribuire a ridurre questi costi utilizzando un'istruzione scope-down per limitare le richieste valutate dal gruppo di regole. Ad esempio, potresti voler consentire il caricamento della tua home page per tutti, bot inclusi, e quindi applicare le regole del gruppo di regole alle richieste che verranno inviate all'applicazione APIs o che contengono un particolare tipo di contenuto. + **Etichette e regole di corrispondenza delle etichette**: puoi personalizzare il modo in cui il gruppo di regole Bot Control gestisce parte del traffico bot che identifica utilizzando l'istruzione AWS WAF label match rule. Il gruppo di regole Bot Control aggiunge etichette alle tue richieste web. Puoi aggiungere regole di corrispondenza delle etichette dopo il gruppo di regole Bot Control che corrispondono alle etichette di Bot Control e applicare la gestione di cui hai bisogno. Per ulteriori informazioni sull'etichettatura e sull'utilizzo delle istruzioni di abbinamento delle etichette, consulta [Dichiarazione della regola di corrispondenza delle etichette](waf-rule-statement-type-label-match.md) e[Etichettatura delle richieste Web in AWS WAF](waf-labels.md). + **Richieste e risposte personalizzate**: puoi aggiungere intestazioni personalizzate alle richieste consentite e inviare risposte personalizzate per le richieste che blocchi abbinando l'etichetta alle funzionalità di richiesta e risposta AWS WAF personalizzate. Per ulteriori informazioni sulla personalizzazione di richieste e risposte, consulta. [Richieste e risposte web personalizzate in AWS WAF](waf-custom-request-response.md) # Utilizzo dell'integrazione delle applicazioni SDKs con Bot Control Utilizzo dell'integrazione delle applicazioni SDKs con Bot Control Questa sezione spiega come utilizzare l'integrazione delle applicazioni SDKs con Bot Control. La maggior parte delle protezioni mirate del gruppo di regole gestito da Bot Control richiedono i token di sfida generati dall'integrazione SDKs dell'applicazione. Le regole che non richiedono un token di sfida sulla richiesta sono le protezioni di livello comune di Bot Control e le regole di machine learning di livello mirato. Per le descrizioni dei livelli di protezione e delle regole nel gruppo di regole, vedi[AWS WAF Gruppo di regole Bot Control](aws-managed-rule-groups-bot.md). Consigliamo vivamente di implementare l'integrazione delle applicazioni SDKs, per un uso più efficace del gruppo di regole Bot Control. Lo script di sfida deve essere eseguito prima del gruppo di regole Bot Control affinché il gruppo di regole possa beneficiare dei token acquisiti dallo script. + Con l'integrazione dell'applicazione SDKs, lo script viene eseguito automaticamente. + Se non riesci a utilizzare il SDKs, puoi configurare il tuo pacchetto di protezione (ACL web) in modo che esegua l'azione Challenge o CAPTCHA regola tutte le richieste che verranno esaminate dal gruppo di regole Bot Control. L'utilizzo dell'azione Challenge o della CAPTCHA regola può comportare costi aggiuntivi. Per i dettagli sui prezzi, vedere [Prezzi di AWS WAF](https://aws.amazon.com/waf/pricing/). Quando si implementa l'integrazione delle applicazioni SDKs nei client o si utilizza una delle azioni delle regole che eseguono lo script di sfida, si espandono le funzionalità del gruppo di regole e della sicurezza complessiva delle applicazioni client. I token forniscono informazioni sui clienti con ogni richiesta web. Queste informazioni aggiuntive consentono al gruppo di regole Bot Control di separare le sessioni client legittime dalle sessioni client che si comportano male, anche se entrambe provengono da un unico indirizzo IP. Il gruppo di regole utilizza le informazioni contenute nei token per aggregare il comportamento delle richieste di sessione del client per il rilevamento e la mitigazione ottimizzati forniti dal livello di protezione mirato. Per informazioni su, vedere. SDKs [Integrazioni di applicazioni client in AWS WAF](waf-application-integration.md) Per informazioni sui AWS WAF token, vedere[Uso dei token nella mitigazione AWS WAF intelligente delle minacce](waf-tokens.md). Per informazioni sulle azioni delle regole, vedere[CAPTCHAe Challenge in AWS WAF](waf-captcha-and-challenge.md). # Aggiungere il gruppo di regole gestito da AWS WAF Bot Control all'ACL web Aggiungere il gruppo di regole gestito da Bot Control al pacchetto di protezione (ACL web) Questa sezione spiega come aggiungere e configurare il gruppo di `AWSManagedRulesBotControlRuleSet` regole. Il gruppo di regole gestito da Bot Control `AWSManagedRulesBotControlRuleSet` richiede una configurazione aggiuntiva per identificare il livello di protezione che si desidera implementare. Per la descrizione del gruppo di regole e l'elenco delle regole, vedi[AWS WAF Gruppo di regole Bot Control](aws-managed-rule-groups-bot.md). Questa guida è destinata agli utenti che sanno in generale come creare e gestire pacchetti di AWS WAF protezione (Web ACLs), regole e gruppi di regole. Questi argomenti sono trattati nelle sezioni precedenti di questa guida. Per informazioni di base su come aggiungere un gruppo di regole gestito al pacchetto di protezione (Web ACL), vedere[Aggiungere un gruppo di regole gestito a un pacchetto di protezione (ACL Web) tramite la console](waf-using-managed-rule-group.md). **Segui le migliori pratiche** Utilizza il gruppo di regole Bot Control in conformità con le best practice riportate in[Le migliori pratiche per la mitigazione intelligente delle minacce in AWS WAF](waf-managed-protections-best-practices.md). **Per utilizzare il gruppo di `AWSManagedRulesBotControlRuleSet` regole nel tuo pacchetto di protezione (ACL web)** 1. Aggiungi il gruppo di regole AWS gestito `AWSManagedRulesBotControlRuleSet` al tuo pacchetto di protezione (Web ACL). Per la descrizione completa del gruppo di regole, consulta[AWS WAF Gruppo di regole Bot Control](aws-managed-rule-groups-bot.md). **Nota** Quando utilizzi questo gruppo di regole gestito, ti vengono addebitati costi aggiuntivi. Per ulteriori informazioni, consultare [AWS WAF Prezzi](https://aws.amazon.com/waf/pricing/). Quando aggiungi il gruppo di regole, modificalo per aprire la pagina di configurazione per il gruppo di regole. 1. Nella pagina di configurazione del gruppo di regole, nel riquadro **Livello** di ispezione, seleziona il livello di ispezione che desideri utilizzare. + **Comune**: rileva una varietà di bot che si identificano automaticamente, come framework di web scraping, motori di ricerca e browser automatici. Le protezioni Bot Control a questo livello identificano i bot più comuni utilizzando tecniche di rilevamento dei bot tradizionali, come l'analisi statica dei dati delle richieste. Le regole etichettano il traffico proveniente da questi bot e bloccano quello che non possono verificare. + **Mirato**: include le protezioni di livello comune e aggiunge il rilevamento mirato per bot sofisticati che non si identificano automaticamente. Le protezioni mirate mitigano l'attività dei bot utilizzando una combinazione di limitazioni della velocità e sfide legate al CAPTCHA e al browser in background. + **`TGT_`**— Le regole che forniscono una protezione mirata hanno nomi che iniziano con. `TGT_` Tutte le protezioni mirate utilizzano tecniche di rilevamento come l'interrogazione del browser, il rilevamento delle impronte digitali e l'euristica comportamentale per identificare il traffico di bot non valido. + **`TGT_ML_`**— Le regole di protezione mirate che utilizzano l'apprendimento automatico hanno nomi che iniziano con. `TGT_ML_` Queste regole utilizzano l'analisi automatizzata e basata sull'apprendimento automatico delle statistiche sul traffico dei siti Web per rilevare comportamenti anomali indicativi di un'attività distribuita e coordinata dei bot. AWS WAF analizza le statistiche sul traffico del sito Web, ad esempio timestamp, caratteristiche del browser e URL visitato in precedenza, per migliorare il modello di apprendimento automatico di Bot Control. Le funzionalità di machine learning sono abilitate per impostazione predefinita, ma puoi disabilitarle nella configurazione del gruppo di regole. Quando l'apprendimento automatico è disabilitato, AWS WAF non valuta queste regole. 1. Se utilizzi il livello di protezione mirato e non desideri AWS WAF utilizzare l'apprendimento automatico (ML) per analizzare il traffico web alla ricerca di attività di bot distribuite e coordinate, disattiva l'opzione di apprendimento automatico. L'apprendimento automatico è necessario per le regole di Bot Control i cui nomi iniziano con`TGT_ML_`. Per informazioni dettagliate su queste regole, consulta[Elenco delle regole di Bot Control](aws-managed-rule-groups-bot.md#aws-managed-rule-groups-bot-rules). 1. Aggiungere un'istruzione riassuntiva per il gruppo di regole, per contenere i costi del suo utilizzo. Un'istruzione riportata verso il basso restringe l'insieme di richieste esaminate dal gruppo di regole. Ad esempio, casi d'uso, inizia con e. [Esempio di Bot Control: utilizzo di Bot Control solo per la pagina di accesso](waf-bot-control-example-scope-down-login.md) [Esempio di Bot Control: utilizzo di Bot Control solo per contenuti dinamici](waf-bot-control-example-scope-down-dynamic-content.md) 1. Fornisci qualsiasi configurazione aggiuntiva necessaria per il gruppo di regole. 1. Salva le modifiche al pacchetto di protezione (Web ACL). Prima di implementare l'implementazione di Bot Control per il traffico di produzione, testala e ottimizzala in un ambiente di staging o test finché non ti senti a tuo agio con il potenziale impatto sul traffico. Quindi testa e ottimizza le regole in modalità di conteggio in base al traffico di produzione prima di attivarle. Per ulteriori informazioni, consulta le sezioni seguenti. # Scenari di esempio di falsi positivi con AWS WAF Bot Control Falsi positivi con Bot Control Questa sezione fornisce esempi di situazioni in cui potresti riscontrare falsi positivi con AWS WAF Bot Control. Abbiamo selezionato con cura le regole nel gruppo di regole gestito da AWS WAF Bot Control per ridurre al minimo i falsi positivi. Testiamo le regole rispetto al traffico globale e ne monitoriamo l'impatto sui pacchetti di protezione dei test (web ACLs). Tuttavia, è ancora possibile ottenere falsi positivi a causa di cambiamenti nei modelli di traffico. Inoltre, è noto che alcuni casi d'uso causano falsi positivi e richiedono una personalizzazione specifica per il traffico web. Le situazioni in cui potresti riscontrare falsi positivi includono: + Le app per dispositivi mobili in genere hanno agenti utente diversi dal browser, che la `SignalNonBrowserUserAgent` regola blocca per impostazione predefinita. Se ti aspetti traffico proveniente da app per dispositivi mobili o qualsiasi altro traffico legittimo con agenti utente diversi dal browser, dovrai aggiungere un'eccezione per consentirlo. + Potresti fare affidamento su un traffico bot specifico per cose come il monitoraggio dell'uptime, i test di integrazione o gli strumenti di marketing. Se Bot Control identifica e blocca il traffico bot che desideri consentire, devi modificare la gestione aggiungendo regole personalizzate. Sebbene non si tratti di uno scenario di falso positivo per tutti i clienti, se lo è per te, dovrai gestirlo come per un falso positivo. + Il gruppo di regole gestito da Bot Control verifica i bot utilizzando gli indirizzi IP di. AWS WAF Se utilizzi Bot Control e hai verificato i bot che effettuano il routing attraverso un proxy o un sistema di bilanciamento del carico, potresti dover autorizzarli esplicitamente utilizzando una regola personalizzata. Per informazioni su come creare una regola personalizzata di questo tipo, consulta. [Utilizzo degli indirizzi IP inoltrati in AWS WAF](waf-rule-statement-forwarded-ip-address.md) + Una regola di Bot Control con una bassa percentuale globale di falsi positivi potrebbe avere un forte impatto su dispositivi o applicazioni specifici. Ad esempio, durante i test e la convalida, potremmo non aver osservato le richieste provenienti da applicazioni con bassi volumi di traffico o da browser o dispositivi meno comuni. + Una regola di Bot Control con un tasso di falsi positivi storicamente basso potrebbe aver aumentato i falsi positivi per il traffico valido. Ciò potrebbe essere dovuto a nuovi modelli di traffico o agli attributi di richiesta che emergono con il traffico valido, che fanno sì che il traffico corrisponda alla regola laddove prima non corrispondeva. Queste modifiche potrebbero essere dovute a situazioni come le seguenti: + Dettagli sul traffico che vengono alterati man mano che il traffico scorre attraverso le appliance di rete, come i sistemi di bilanciamento del carico o le reti di distribuzione dei contenuti (CDN). + Modifiche emergenti nei dati sul traffico, ad esempio nuovi browser o nuove versioni per i browser esistenti. Per informazioni su come gestire i falsi positivi che potresti ottenere dal gruppo di regole gestito da AWS WAF Bot Control, consulta le indicazioni nella sezione che segue,[Test e implementazione di AWS WAF Bot Control](waf-bot-control-deploying.md). # Test e implementazione di AWS WAF Bot Control Test e implementazione di Bot Control Questa sezione fornisce indicazioni generali per configurare e testare un'implementazione di AWS WAF Bot Control per il tuo sito. I passaggi specifici che sceglierai di seguire dipenderanno dalle tue esigenze, dalle tue risorse e dalle richieste web che ricevi. Queste informazioni si aggiungono alle informazioni generali su test e ottimizzazione fornite all'indirizzo[Test e ottimizzazione delle protezioni AWS WAF](web-acl-testing.md). **Nota** AWS Le Managed Rules sono progettate per proteggerti dalle minacce web più comuni. Se utilizzati in conformità con la documentazione, i gruppi di regole AWS Managed Rules aggiungono un altro livello di sicurezza per le applicazioni. Tuttavia, i gruppi di regole AWS Managed Rules non sono intesi come sostituti delle responsabilità in materia di sicurezza, che sono determinate dalle AWS risorse selezionate. Fai riferimento al [modello di responsabilità condivisa](https://aws.amazon.com/compliance/shared-responsibility-model/) per assicurarti che le tue risorse AWS siano adeguatamente protette. **Rischio legato al traffico di produzione** Prima di implementare l'implementazione di Bot Control per il traffico di produzione, testala e ottimizzala in un ambiente di staging o test finché non ti senti a tuo agio con il potenziale impatto sul traffico. Quindi testa e ottimizza le regole in modalità di conteggio in base al traffico di produzione prima di attivarle. Questa guida è destinata agli utenti che sanno in generale come creare e gestire pacchetti di AWS WAF protezione (Web ACLs), regole e gruppi di regole. Questi argomenti sono trattati nelle sezioni precedenti di questa guida. **Per configurare e testare un'implementazione di Bot Control** Esegui questi passaggi prima in un ambiente di test, poi in produzione. 1. **Aggiungi il gruppo di regole gestito da Bot Control** **Nota** Quando utilizzi questo gruppo di regole gestito, ti vengono addebitati costi aggiuntivi. Per ulteriori informazioni, consultare [AWS WAF Prezzi](https://aws.amazon.com/waf/pricing/). Aggiungi il gruppo di AWS regole gestito `AWSManagedRulesBotControlRuleSet` a un pacchetto di protezione nuovo o esistente (ACL Web) e configuralo in modo che non alteri il comportamento del Protection Pack (Web ACL) corrente. + Quando aggiungi il gruppo di regole gestito, modificalo e procedi come segue: + Nel riquadro **Livello di ispezione**, seleziona il livello di ispezione che desideri utilizzare. + **Comune**: rileva una varietà di bot che si identificano automaticamente, come framework di web scraping, motori di ricerca e browser automatici. Le protezioni Bot Control a questo livello identificano i bot più comuni utilizzando tecniche di rilevamento dei bot tradizionali, come l'analisi statica dei dati delle richieste. Le regole etichettano il traffico proveniente da questi bot e bloccano quello che non possono verificare. + **Mirato**: include le protezioni di livello comune e aggiunge il rilevamento mirato per bot sofisticati che non si identificano automaticamente. Le protezioni mirate mitigano l'attività dei bot utilizzando una combinazione di limitazioni della velocità e sfide legate al CAPTCHA e al browser in background. + **`TGT_`**— Le regole che forniscono una protezione mirata hanno nomi che iniziano con. `TGT_` Tutte le protezioni mirate utilizzano tecniche di rilevamento come l'interrogazione del browser, il rilevamento delle impronte digitali e l'euristica comportamentale per identificare il traffico di bot non valido. + **`TGT_ML_`**— Le regole di protezione mirate che utilizzano l'apprendimento automatico hanno nomi che iniziano con. `TGT_ML_` Queste regole utilizzano l'analisi automatizzata e basata sull'apprendimento automatico delle statistiche sul traffico dei siti Web per rilevare comportamenti anomali indicativi di un'attività distribuita e coordinata dei bot. AWS WAF analizza le statistiche sul traffico del sito Web, ad esempio timestamp, caratteristiche del browser e URL visitato in precedenza, per migliorare il modello di apprendimento automatico di Bot Control. Le funzionalità di machine learning sono abilitate per impostazione predefinita, ma puoi disabilitarle nella configurazione del gruppo di regole. Quando l'apprendimento automatico è disabilitato, AWS WAF non valuta queste regole. Per ulteriori informazioni su questa scelta, vedere[AWS WAF Gruppo di regole Bot Control](aws-managed-rule-groups-bot.md). + Nel riquadro **Regole**, apri il menu a discesa **Sostituisci tutte le azioni delle regole** e scegli. **Count** Con questa configurazione, AWS WAF valuta le richieste in base a tutte le regole del gruppo di regole e conta solo le corrispondenze risultanti, pur continuando ad aggiungere etichette alle richieste. Per ulteriori informazioni, consulta [Sovrascrivere le azioni delle regole in un gruppo di regole](web-acl-rule-group-settings.md#web-acl-rule-group-rule-action-override). Con questo override, puoi monitorare il potenziale impatto delle regole di Bot Control sul tuo traffico, per determinare se desideri aggiungere eccezioni per cose come casi d'uso interni o bot desiderati. + Posiziona il gruppo di regole in modo che venga valutato per ultimo nel pacchetto di protezione (Web ACL), con un'impostazione di priorità numericamente superiore a qualsiasi altra regola o gruppo di regole che stai già utilizzando. Per ulteriori informazioni, consulta [Impostazione della priorità delle regole](web-acl-processing-order.md). In questo modo, la tua attuale gestione del traffico non viene interrotta. Ad esempio, se disponi di regole che rilevano traffico dannoso come SQL injection o cross-site scripting, continueranno a rilevare e registrare tali richieste. In alternativa, se disponi di regole che consentono il traffico noto e non dannoso, possono continuare a consentire tale traffico senza che venga bloccato dal gruppo di regole gestito da Bot Control. Potresti decidere di modificare l'ordine di elaborazione durante le attività di test e ottimizzazione, ma questo è un buon modo per iniziare. 1. **Abilita la registrazione e le metriche per il pacchetto di protezione (Web ACL)** Se necessario, configura la registrazione, la raccolta dei dati di Amazon Security Lake, il campionamento delle richieste e i CloudWatch parametri Amazon per il pacchetto di protezione (Web ACL). Puoi utilizzare questi strumenti di visibilità per monitorare l'interazione del gruppo di regole gestito da Bot Control con il tuo traffico. + Per ulteriori informazioni sulla registrazione, consulta [Registrazione del traffico del pacchetto di AWS WAF protezione (Web ACL)](logging.md). + Per informazioni su Amazon Security Lake, consulta [Cos'è Amazon Security Lake?](https://docs.aws.amazon.com/security-lake/latest/userguide/what-is-security-lake.html) e [Raccolta di dati dai AWS servizi](https://docs.aws.amazon.com/security-lake/latest/userguide/internal-sources.html) nella *guida per l'utente di Amazon Security Lake*. + Per informazioni sui CloudWatch parametri di Amazon, consulta[Monitoraggio con Amazon CloudWatch](monitoring-cloudwatch.md). + Per informazioni sul campionamento delle richieste web, consulta. [Visualizzazione di un esempio di richieste Web](web-acl-testing-view-sample.md) 1. **Associare il pacchetto di protezione (Web ACL) a una risorsa** Se il protection pack (Web ACL) non è già associato a una risorsa, associalo. Per informazioni, consulta [Associare o dissociare la protezione a una risorsa AWS](web-acl-associating-aws-resource.md). 1. **Monitora il traffico e la corrispondenza delle regole di Bot Control** Assicurati che il traffico scorra e che le regole del gruppo di regole gestito da Bot Control aggiungano etichette alle richieste web corrispondenti. Puoi vedere le etichette nei log e vedere le metriche dei bot e delle etichette nei parametri di Amazon CloudWatch . Nei log, le regole che hai sostituito per conteggiare nel gruppo di regole vengono visualizzate in `ruleGroupList` with `action` set to count e `overriddenAction` indicano l'azione della regola configurata che hai ignorato. **Nota** Il gruppo di regole gestito da Bot Control verifica i bot utilizzando gli indirizzi IP di. AWS WAF Se utilizzi Bot Control e hai verificato i bot che effettuano il routing attraverso un proxy o un sistema di bilanciamento del carico, potresti dover autorizzarli esplicitamente utilizzando una regola personalizzata. Per informazioni su come creare una regola personalizzata, consulta. [Utilizzo degli indirizzi IP inoltrati in AWS WAF](waf-rule-statement-forwarded-ip-address.md) Per informazioni su come utilizzare la regola per personalizzare la gestione delle richieste web di Bot Control, consulta il passaggio successivo. Esamina attentamente la gestione delle richieste Web per individuare eventuali falsi positivi che potresti dover mitigare con una gestione personalizzata. Per esempi di falsi positivi, vedere. [Scenari di esempio di falsi positivi con AWS WAF Bot Control](waf-bot-control-false-positives.md) 1. **Personalizza la gestione delle richieste web di Bot Control** Se necessario, aggiungi le tue regole che consentono o bloccano esplicitamente le richieste, per modificare il modo in cui le regole di Bot Control le gestirebbero altrimenti. Il modo in cui eseguire questa operazione dipende dal caso d'uso, ma le soluzioni più comuni sono le seguenti: + Consenti esplicitamente le richieste con una regola che aggiungi prima del gruppo di regole gestito da Bot Control. In questo modo, le richieste consentite non raggiungono mai il gruppo di regole per la valutazione. Questo può aiutare a contenere il costo dell'utilizzo del gruppo di regole gestito da Bot Control. + Escludi le richieste dalla valutazione di Bot Control aggiungendo un'istruzione scope-down all'interno dell'istruzione del gruppo di regole gestito da Bot Control. Funziona come l'opzione precedente. Può aiutare a contenere i costi dell'utilizzo del gruppo di regole gestito da Bot Control, poiché le richieste che non corrispondono all'istruzione scope-down non raggiungono mai la valutazione del gruppo di regole. Per informazioni sulle istruzioni scope-down, consulta. [Utilizzo di istruzioni scope-down in AWS WAF](waf-rule-scope-down-statements.md) Per esempi di , consulta le sezioni seguenti: + [Esclusione dell'intervallo IP dalla gestione dei bot](waf-bot-control-example-scope-down-ip.md) + [Consentire il traffico proveniente da un bot che controlli](waf-bot-control-example-scope-down-your-bot.md) + Utilizza le etichette Bot Control nella gestione delle richieste per consentire o bloccare le richieste. Aggiungi una regola di corrispondenza delle etichette dopo il gruppo di regole gestito da Bot Control per filtrare le richieste etichettate che desideri consentire da quelle che desideri bloccare. Dopo il test, mantieni le relative regole di Bot Control in modalità count e mantieni le decisioni sulla gestione delle richieste nella tua regola personalizzata. Per informazioni sulle istruzioni label match, consulta[Dichiarazione della regola di corrispondenza delle etichette](waf-rule-statement-type-label-match.md). Per esempi di questo tipo di personalizzazione, consulta quanto segue: + [Creazione di un'eccezione per un agente utente bloccato](waf-bot-control-example-user-agent-exception.md) + [Autorizzazione di uno specifico bot bloccato](waf-bot-control-example-allow-blocked-bot.md) + [Blocco dei bot verificati](waf-bot-control-example-block-verified-bots.md) Per ulteriori esempi, consulta [AWS WAF Esempi di Bot Control](waf-bot-control-examples.md). 1. **Se necessario, abilita le impostazioni del gruppo di regole gestito da Bot Control** A seconda della situazione, potresti aver deciso di lasciare alcune regole di Bot Control in modalità count o con un'azione diversa che sostituisce. Per le regole che desideri far eseguire così come sono configurate all'interno del gruppo di regole, abilita la normale configurazione delle regole. A tale scopo, modifica l'istruzione del gruppo di regole nel tuo protection pack (Web ACL) e apporta le modifiche nel riquadro **Regole**. # AWS WAF Esempi di Bot Control Esempi di Bot ControlEsempi aggiornati di Bot Control Sono stati aggiunti esempi che illustrano il livello di ispezione mirato ed esempi esistenti aggiornati per rispecchiare le migliori pratiche. Questa sezione mostra configurazioni di esempio che soddisfano una serie di casi d'uso comuni per le implementazioni di AWS WAF Bot Control. Ogni esempio fornisce una descrizione del caso d'uso e quindi mostra la soluzione negli elenchi JSON per le regole configurate personalizzate. **Nota** Gli elenchi JSON mostrati in questi esempi sono stati creati nella console configurando la regola e quindi modificandola utilizzando l'editor **Rule** JSON. **Topics** + [ # Esempio di Bot Control: configurazione semplice ](waf-bot-control-example-basic.md) + [ # Esempio di controllo dei bot: autorizzazione esplicita dei bot verificati ](waf-bot-control-example-allow-verified-bots.md) + [ # Esempio di controllo dei bot: blocco dei bot verificati ](waf-bot-control-example-block-verified-bots.md) + [ # Esempio di controllo dei bot: consentire uno specifico bot bloccato ](waf-bot-control-example-allow-blocked-bot.md) + [ # Esempio di Bot Control: creazione di un'eccezione per un agente utente bloccato ](waf-bot-control-example-user-agent-exception.md) + [ # Esempio di Bot Control: utilizzo di Bot Control solo per la pagina di accesso ](waf-bot-control-example-scope-down-login.md) + [ # Esempio di Bot Control: utilizzo di Bot Control solo per contenuti dinamici ](waf-bot-control-example-scope-down-dynamic-content.md) + [ # Esempio di Bot Control: esclusione dell'intervallo IP dalla gestione dei bot ](waf-bot-control-example-scope-down-ip.md) + [ # Esempio di controllo dei bot: consentire il traffico proveniente da un bot che controlli ](waf-bot-control-example-scope-down-your-bot.md) + [ # Esempio di Bot Control: attivazione di un livello di ispezione mirato ](waf-bot-control-example-targeted-inspection-level.md) + [ # Esempio di Bot Control: utilizzo di due istruzioni per limitare l'uso del livello di ispezione mirato ](waf-bot-control-example-common-and-targeted-inspection-level.md) # Esempio di Bot Control: configurazione semplice Configurazione semplice Il seguente elenco JSON mostra un pacchetto di protezione di esempio (Web ACL) con un gruppo di regole gestito da AWS WAF Bot Control. Nota la configurazione di visibilità, che consente di AWS WAF archiviare gli esempi e le metriche delle richieste per scopi di monitoraggio. ``` { "Name": "Bot-WebACL", "Id": "...", "ARN": "...", "DefaultAction": { "Allow": {} }, "Description": "Bot-WebACL", "Rules": [ { ... }, { "Name": "AWS-AWSBotControl-Example", "Priority": 5, "Statement": { "ManagedRuleGroupStatement": { "VendorName": "AWS", "Name": "AWSManagedRulesBotControlRuleSet", "ManagedRuleGroupConfigs": [ { "AWSManagedRulesBotControlRuleSet": { "InspectionLevel": "COMMON" } } ], "RuleActionOverrides": [], "ExcludedRules": [] }, "VisibilityConfig": { "SampledRequestsEnabled": true, "CloudWatchMetricsEnabled": true, "MetricName": "AWS-AWSBotControl-Example" } } } ], "VisibilityConfig": { ... }, "Capacity": 1496, "ManagedByFirewallManager": false, "RetrofittedByFirewallManager": false } ``` # Esempio di controllo dei bot: autorizzazione esplicita dei bot verificati Consentire esplicitamente i bot verificati AWS WAF Bot Control non blocca i bot noti AWS per essere bot comuni e verificabili. Quando Bot Control identifica una richiesta web come proveniente da un bot verificato, aggiunge un'etichetta che nomina il bot e un'etichetta che indica che si tratta di un bot verificato. Bot Control non aggiunge altre etichette, come le etichette dei segnali, per evitare che i bot noti come validi vengano bloccati. Potresti avere altre AWS WAF regole che bloccano i bot verificati. Se vuoi assicurarti che i bot verificati siano consentiti, aggiungi una regola personalizzata per consentirli in base alle etichette Bot Control. La tua nuova regola deve seguire il gruppo di regole gestito da Bot Control, in modo che le etichette siano disponibili per il confronto. La seguente regola consente esplicitamente i bot verificati. ``` { "Name": "match_rule", "Statement": { "LabelMatchStatement": { "Scope": "LABEL", "Key": "awswaf:managed:aws:bot-control:bot:verified" } }, "RuleLabels": [], "Action": { "Allow": {} } } ``` # Esempio di controllo dei bot: blocco dei bot verificati Blocco dei bot verificati Per bloccare i bot verificati, devi aggiungere una regola per bloccarli che segue il gruppo di regole gestito da AWS WAF Bot Control. A tale scopo, identifica i nomi dei bot che desideri bloccare e utilizza un'istruzione label match per identificarli e bloccarli. Se vuoi bloccare solo tutti i bot verificati, puoi omettere la corrispondenza con l'`bot:name:`etichetta. La seguente regola blocca solo il bot `bingbot` verificato. Questa regola deve essere eseguita dopo il gruppo di regole gestito da Bot Control. ``` { "Name": "match_rule", "Statement": { "AndStatement": { "Statements": [ { "LabelMatchStatement": { "Scope": "LABEL", "Key": "awswaf:managed:aws:bot-control:bot:name:bingbot" } }, { "LabelMatchStatement": { "Scope": "LABEL", "Key": "awswaf:managed:aws:bot-control:bot:verified" } } ] } }, "RuleLabels": [], "Action": { "Block": {} } } ``` La seguente regola blocca tutti i bot verificati. ``` { "Name": "match_rule", "Statement": { "LabelMatchStatement": { "Scope": "LABEL", "Key": "awswaf:managed:aws:bot-control:bot:verified" } }, "RuleLabels": [], "Action": { "Block": {} } } ``` # Esempio di controllo dei bot: consentire uno specifico bot bloccato Autorizzazione di uno specifico bot bloccato È possibile che un bot venga bloccato da più di una delle regole di Bot Control. Esegui la procedura seguente per ogni regola di blocco. Se una regola di AWS WAF Bot Control blocca un bot che non desideri bloccare, procedi come segue: 1. Identifica la regola Bot Control che blocca il bot controllando i log. La regola di blocco verrà specificata nei log nei campi i cui nomi iniziano con. `terminatingRule` Per informazioni sui log del Protection Pack (Web ACL), vedere. [Registrazione del traffico del pacchetto di AWS WAF protezione (Web ACL)](logging.md) Nota l'etichetta che la regola aggiunge alle richieste. 1. Nel tuo pacchetto di protezione (ACL web), sostituisci l'azione della regola di blocco per contare. Per eseguire questa operazione nella console, modifica la regola del gruppo di regole nel protection pack (Web ACL) e scegli un'azione che sostituisca l'azione della Count regola per la regola. Ciò garantisce che il bot non sia bloccato dalla regola, ma la regola applicherà comunque la sua etichetta alle richieste corrispondenti. 1. Aggiungi una regola di corrispondenza delle etichette al tuo pacchetto di protezione (ACL web), dopo il gruppo di regole gestito da Bot Control. Configura la regola in modo che corrisponda all'etichetta della regola sostituita e per bloccare tutte le richieste corrispondenti tranne il bot che non desideri bloccare. Il tuo pacchetto di protezione (ACL web) è ora configurato in modo che il bot che desideri consentire non sia più bloccato dalla regola di blocco identificata nei log. Controlla nuovamente il traffico e i log per assicurarti che al bot sia consentito l'accesso. In caso contrario, esegui nuovamente la procedura precedente. Ad esempio, supponiamo di voler bloccare tutti i bot di monitoraggio ad eccezione di. `pingdom` In questo caso, sostituite la `CategoryMonitoring` regola di conteggio e quindi scrivete una regola per bloccare tutti i bot di monitoraggio ad eccezione di quelli con l'etichetta del nome del bot. `pingdom` La regola seguente utilizza il gruppo di regole gestito da Bot Control ma sostituisce l'azione della regola per contare. `CategoryMonitoring` La regola di monitoraggio delle categorie applica le sue etichette come di consueto alle richieste corrispondenti, ma le conta solo invece di eseguire la consueta azione di blocco. ``` { "Name": "AWS-AWSBotControl-Example", "Priority": 5, "Statement": { "ManagedRuleGroupStatement": { "VendorName": "AWS", "Name": "AWSManagedRulesBotControlRuleSet", "ManagedRuleGroupConfigs": [ { "AWSManagedRulesBotControlRuleSet": { "InspectionLevel": "COMMON" } } ], "RuleActionOverrides": [ { "ActionToUse": { "Count": {} }, "Name": "CategoryMonitoring" } ], "ExcludedRules": [] } }, "VisibilityConfig": { "SampledRequestsEnabled": true, "CloudWatchMetricsEnabled": true, "MetricName": "AWS-AWSBotControl-Example" } } ``` La regola seguente corrisponde all'etichetta di monitoraggio della categoria che la `CategoryMonitoring` regola precedente aggiunge alle richieste Web corrispondenti. Tra le richieste di monitoraggio delle categorie, questa regola blocca tutte tranne quelle che hanno un'etichetta per il nome `pingdom` del bot. La seguente regola deve essere eseguita dopo il precedente gruppo di regole gestito da Bot Control nell'ordine di elaborazione del Protection Pack (Web ACL). ``` { "Name": "match_rule", "Priority": 10, "Statement": { "AndStatement": { "Statements": [ { "LabelMatchStatement": { "Scope": "LABEL", "Key": "awswaf:managed:aws:bot-control:bot:category:monitoring" } }, { "NotStatement": { "Statement": { "LabelMatchStatement": { "Scope": "LABEL", "Key": "awswaf:managed:aws:bot-control:bot:name:pingdom" } } } } ] } }, "Action": { "Block": {} }, "VisibilityConfig": { "SampledRequestsEnabled": true, "CloudWatchMetricsEnabled": true, "MetricName": "match_rule" } } ``` # Esempio di Bot Control: creazione di un'eccezione per un agente utente bloccato Creazione di un'eccezione per un agente utente bloccato Se il traffico proveniente da alcuni user agent diversi dal browser viene bloccato erroneamente, puoi creare un'eccezione impostando la regola AWS WAF Bot Control non valida su Count e combinando quindi l'etichettatura della regola `SignalNonBrowserUserAgent` con i criteri di eccezione impostati. **Nota** Le app mobili in genere hanno agenti utente diversi dal browser, che la regola blocca per impostazione predefinita. `SignalNonBrowserUserAgent` La regola seguente utilizza il gruppo di regole gestito da Bot Control ma sostituisce l'azione della regola per `SignalNonBrowserUserAgent` Count. La regola del segnale applica le sue etichette come di consueto alle richieste corrispondenti, ma le conta solo invece di eseguire la consueta azione di blocco. ``` { "Name": "AWS-AWSBotControl-Example", "Priority": 5, "Statement": { "ManagedRuleGroupStatement": { "VendorName": "AWS", "Name": "AWSManagedRulesBotControlRuleSet", "ManagedRuleGroupConfigs": [ { "AWSManagedRulesBotControlRuleSet": { "InspectionLevel": "COMMON" } } ], "RuleActionOverrides": [ { "ActionToUse": { "Count": {} }, "Name": "SignalNonBrowserUserAgent" } ], "ExcludedRules": [] } }, "VisibilityConfig": { "SampledRequestsEnabled": true, "CloudWatchMetricsEnabled": true, "MetricName": "AWS-AWSBotControl-Example" } } ``` La seguente regola corrisponde all'etichetta del segnale che la `SignalNonBrowserUserAgent` regola Bot Control aggiunge alle richieste web corrispondenti. Tra le richieste di segnale, questa regola blocca tutte tranne quelle che hanno lo user agent che vogliamo consentire. La seguente regola deve essere eseguita dopo il precedente gruppo di regole gestito da Bot Control nell'ordine di elaborazione del Protection Pack (Web ACL). ``` { "Name": "match_rule", "Statement": { "AndStatement": { "Statements": [ { "LabelMatchStatement": { "Scope": "LABEL", "Key": "awswaf:managed:aws:bot-control:signal:non_browser_user_agent" } }, { "NotStatement": { "Statement": { "ByteMatchStatement": { "FieldToMatch": { "SingleHeader": { "Name": "user-agent" } }, "PositionalConstraint": "EXACTLY", "SearchString": "PostmanRuntime/7.29.2", "TextTransformations": [ { "Priority": 0, "Type": "NONE" } ] } } } } ] } }, "RuleLabels": [], "Action": { "Block": {} }, "VisibilityConfig": { "SampledRequestsEnabled": true, "CloudWatchMetricsEnabled": true, "MetricName": "match_rule" } } ``` # Esempio di Bot Control: utilizzo di Bot Control solo per la pagina di accesso Utilizzo di Bot Control solo per la pagina di accesso L'esempio seguente utilizza un'istruzione scope-down per applicare AWS WAF Bot Control solo al traffico che arriva alla pagina di accesso di un sito Web, identificata dal percorso URI. `login` Il percorso URI della pagina di accesso potrebbe essere diverso da quello dell'esempio, a seconda dell'applicazione e dell'ambiente. ``` { "Name": "AWS-AWSBotControl-Example", "Priority": 5, "Statement": { "ManagedRuleGroupStatement": { "VendorName": "AWS", "Name": "AWSManagedRulesBotControlRuleSet", "ManagedRuleGroupConfigs": [ { "AWSManagedRulesBotControlRuleSet": { "InspectionLevel": "COMMON" } } ], "RuleActionOverrides": [], "ExcludedRules": [] }, "VisibilityConfig": { "SampledRequestsEnabled": true, "CloudWatchMetricsEnabled": true, "MetricName": "AWS-AWSBotControl-Example" }, "ScopeDownStatement": { "ByteMatchStatement": { "SearchString": "login", "FieldToMatch": { "UriPath": {} }, "TextTransformations": [ { "Priority": 0, "Type": "NONE" } ], "PositionalConstraint": "CONTAINS" } } } } ``` # Esempio di Bot Control: utilizzo di Bot Control solo per contenuti dinamici Utilizzo di Bot Control solo per contenuti dinamici Questo esempio utilizza un'istruzione scope-down per applicare AWS WAF Bot Control solo al contenuto dinamico. L'istruzione scope-down esclude il contenuto statico annullando i risultati della corrispondenza per un set di pattern regex: + *Il set di pattern regex è configurato per corrispondere alle estensioni del contenuto statico.* Ad esempio, la specifica del set di pattern regex potrebbe essere. `(?i)\.(jpe?g|gif|png|svg|ico|css|js|woff2?)$` Per informazioni sui set e sulle istruzioni di pattern regex, vedere. [Istruzione regola di corrispondenza del set del modello regex](waf-rule-statement-type-regex-pattern-set-match.md) + Nell'istruzione scope-down, escludiamo il contenuto statico corrispondente annidando l'istruzione regex pattern set all'interno di un'istruzione. `NOT` Per informazioni sulla dichiarazione, vedere. `NOT` [NOTdichiarazione delle regole](waf-rule-statement-type-not.md) ``` { "Name": "AWS-AWSBotControl-Example", "Priority": 5, "Statement": { "ManagedRuleGroupStatement": { "VendorName": "AWS", "Name": "AWSManagedRulesBotControlRuleSet", "ManagedRuleGroupConfigs": [ { "AWSManagedRulesBotControlRuleSet": { "InspectionLevel": "COMMON" } } ], "RuleActionOverrides": [], "ExcludedRules": [] }, "VisibilityConfig": { "SampledRequestsEnabled": true, "CloudWatchMetricsEnabled": true, "MetricName": "AWS-AWSBotControl-Example" }, "ScopeDownStatement": { "NotStatement": { "Statement": { "RegexPatternSetReferenceStatement": { "ARN": "arn:aws:wafv2:us-east-1:123456789:regional/regexpatternset/excludeset/00000000-0000-0000-0000-000000000000", "FieldToMatch": { "UriPath": {} }, "TextTransformations": [ { "Priority": 0, "Type": "NONE" } ] } } } } } } ``` # Esempio di Bot Control: esclusione dell'intervallo IP dalla gestione dei bot Esclusione dell'intervallo IP dalla gestione dei bot Se desideri escludere un sottoinsieme di traffico web dalla gestione di AWS WAF Bot Control e puoi identificare quel sottoinsieme utilizzando un'istruzione di regola, escludilo aggiungendo un'istruzione scope-down all'istruzione del gruppo di regole gestita da Bot Control. La seguente regola esegue la normale gestione dei bot di Bot Control su tutto il traffico Web, ad eccezione delle richieste Web provenienti da un intervallo di indirizzi IP specifico. ``` { "Name": "AWS-AWSBotControl-Example", "Priority": 5, "Statement": { "ManagedRuleGroupStatement": { "VendorName": "AWS", "Name": "AWSManagedRulesBotControlRuleSet", "ManagedRuleGroupConfigs": [ { "AWSManagedRulesBotControlRuleSet": { "InspectionLevel": "COMMON" } } ], "RuleActionOverrides": [], "ExcludedRules": [] }, "VisibilityConfig": { "SampledRequestsEnabled": true, "CloudWatchMetricsEnabled": true, "MetricName": "AWS-AWSBotControl-Example" }, "ScopeDownStatement": { "NotStatement": { "Statement": { "IPSetReferenceStatement": { "ARN": "arn:aws:wafv2:us-east-1:123456789:regional/ipset/friendlyips/00000000-0000-0000-0000-000000000000" } } } } } } ``` # Esempio di controllo dei bot: consentire il traffico proveniente da un bot che controlli Consentire il traffico proveniente da un bot che controlli Puoi configurare alcuni bot di monitoraggio del sito e bot personalizzati per inviare intestazioni personalizzate. Se desideri consentire il traffico proveniente da questi tipi di bot, puoi configurarli per aggiungere un segreto condiviso in un'intestazione. Puoi quindi escludere i messaggi con l'intestazione aggiungendo un'istruzione scope-down all'istruzione del gruppo di regole gestito da AWS WAF Bot Control. La seguente regola di esempio esclude il traffico con un'intestazione segreta dall'ispezione di Bot Control. ``` { "Name": "AWS-AWSBotControl-Example", "Priority": 5, "Statement": { "ManagedRuleGroupStatement": { "VendorName": "AWS", "Name": "AWSManagedRulesBotControlRuleSet", "ManagedRuleGroupConfigs": [ { "AWSManagedRulesBotControlRuleSet": { "InspectionLevel": "COMMON" } } ], "RuleActionOverrides": [], "ExcludedRules": [] }, "VisibilityConfig": { "SampledRequestsEnabled": true, "CloudWatchMetricsEnabled": true, "MetricName": "AWS-AWSBotControl-Example" }, "ScopeDownStatement": { "NotStatement": { "Statement": { "ByteMatchStatement": { "SearchString": "YSBzZWNyZXQ=", "FieldToMatch": { "SingleHeader": { "Name": "x-bypass-secret" } }, "TextTransformations": [ { "Priority": 0, "Type": "NONE" } ], "PositionalConstraint": "EXACTLY" } } } } } } ``` # Esempio di Bot Control: attivazione di un livello di ispezione mirato Abilitazione di un livello di ispezione mirato Per un livello di protezione migliorato, puoi abilitare il livello di ispezione mirata nel gruppo di regole gestito da AWS WAF Bot Control. Nell'esempio seguente, le funzionalità di machine learning sono abilitate. È possibile disattivare questo comportamento impostando `EnableMachineLearning` su`false`. ``` { "Name": "AWS-AWSBotControl-Example", "Priority": 5, "Statement": { "ManagedRuleGroupStatement": { "VendorName": "AWS", "Name": "AWSManagedRulesBotControlRuleSet", "ManagedRuleGroupConfigs": [ { "AWSManagedRulesBotControlRuleSet": { "InspectionLevel": "TARGETED", "EnableMachineLearning": true } } ], "RuleActionOverrides": [], "ExcludedRules": [] }, "VisibilityConfig": { "SampledRequestsEnabled": true, "CloudWatchMetricsEnabled": true, "MetricName": "AWS-AWSBotControl-Example" } } } ``` # Esempio di Bot Control: utilizzo di due istruzioni per limitare l'uso del livello di ispezione mirato Utilizzo di due istruzioni per limitare l'uso del livello di ispezione mirato Per ottimizzare i costi, puoi utilizzare due istruzioni del gruppo di regole gestite da AWS WAF Bot Control nel tuo pacchetto di protezione (ACL web), con livelli e ambiti di ispezione separati. Ad esempio, è possibile estendere l'istruzione mirata sul livello di ispezione solo agli endpoint applicativi più sensibili. Le due istruzioni nell'esempio seguente hanno un ambito che si esclude a vicenda. Senza questa configurazione, una richiesta potrebbe comportare due valutazioni Bot Control fatturate. **Nota** Il riferimento a più istruzioni `AWSManagedRulesBotControlRuleSet` non è supportato nell'editor visivo della console. Utilizza invece l'editor JSON. ``` { "Name": "Bot-WebACL", "Id": "...", "ARN": "...", "DefaultAction": { "Allow": {} }, "Description": "Bot-WebACL", "Rules": [ { ... }, { "Name": "AWS-AWSBotControl-Common", "Priority": 5, "Statement": { "ManagedRuleGroupStatement": { "VendorName": "AWS", "Name": "AWSManagedRulesBotControlRuleSet", "ManagedRuleGroupConfigs": [ { "AWSManagedRulesBotControlRuleSet": { "InspectionLevel": "COMMON" } } ], "RuleActionOverrides": [], "ExcludedRules": [] }, "VisibilityConfig": { "SampledRequestsEnabled": true, "CloudWatchMetricsEnabled": true, "MetricName": "AWS-AWSBotControl-Common" }, "ScopeDownStatement": { "NotStatement": { "Statement": { "ByteMatchStatement": { "FieldToMatch": { "UriPath": {} }, "PositionalConstraint": "STARTS_WITH", "SearchString": "/sensitive-endpoint", "TextTransformations": [ { "Type": "NONE", "Priority": 0 } ] } } } } } }, { "Name": "AWS-AWSBotControl-Targeted", "Priority": 6, "Statement": { "ManagedRuleGroupStatement": { "VendorName": "AWS", "Name": "AWSManagedRulesBotControlRuleSet", "ManagedRuleGroupConfigs": [ { "AWSManagedRulesBotControlRuleSet": { "InspectionLevel": "TARGETED", "EnableMachineLearning": true } } ], "RuleActionOverrides": [], "ExcludedRules": [] }, "VisibilityConfig": { "SampledRequestsEnabled": true, "CloudWatchMetricsEnabled": true, "MetricName": "AWS-AWSBotControl-Targeted" }, "ScopeDownStatement": { "Statement": { "ByteMatchStatement": { "FieldToMatch": { "UriPath": {} }, "PositionalConstraint": "STARTS_WITH", "SearchString": "/sensitive-endpoint", "TextTransformations": [ { "Type": "NONE", "Priority": 0 } ] } } } } } ], "VisibilityConfig": { ... }, "Capacity": 1496, "ManagedByFirewallManager": false, "RetrofittedByFirewallManager": false } ```