**引入全新的主机体验 AWS WAF** 现在,您可以使用更新的体验访问控制台中任意位置的 AWS WAF 功能。有关更多详细信息,请参阅[使用控制台](https://docs.aws.amazon.com/waf/latest/developerguide/working-with-console.html)。 本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。 # 测试和部署 ATP 本节提供有关为您的网站配置和测试 AWS WAF 欺诈控制账户接管预防 (ATP) 实施的一般指导。您选择遵循的具体步骤将取决于您的需求、资源和收到的 web 请求。 此信息是对 [测试和调整您的 AWS WAF 保护措施](web-acl-testing.md) 中提供的有关测试和调整的一般信息的补充。 **注意** AWS 托管规则旨在保护您免受常见 Web 威胁的侵害。根据文档使用 AWS 托管规则组时,可以为您的应用程序增加另一层安全保护。但是, AWS 托管规则规则组并不是用来取代您的安全职责,后者由您选择的 AWS 资源决定。请参阅[分担责任模型](https://aws.amazon.com/compliance/shared-responsibility-model/),确保您的资源 AWS 得到适当保护。 **生产流量风险** 在为生产流量部署 ATP 实施之前,请在暂存或测试环境中对其进行测试和调整,直到您能够适应对流量的潜在影响。然后,在启用之前,在计数模式下使用生产流量对规则进行测试和调整。 AWS WAF 提供了可用于验证 ATP 配置的测试凭证。在以下步骤中,您将配置测试保护包(web ACL)以使用 ATP 托管规则组,配置规则以捕获规则组添加的标签,然后使用这些测试凭证尝试登录。您可以通过检查登录尝试的 Amazon CloudWatch 指标来验证您的网络 ACL 是否正确管理了该尝试。 本指南适用于一般了解如何创建和管理 AWS WAF 保护包 (Web ACLs)、规则和规则组的用户。这些主题将在本指南的前面章节中介绍。 **配置和测试 AWS WAF 欺诈控制账户接管预防 (ATP) 实施方案** 首先在测试环境中执行这些步骤,然后在生产环境中执行这些步骤。 1. **在计数模式下添加 F AWS WAF raud Control 账户接管预防 (ATP) 托管规则组** **注意** 使用此托管规则组时,您需要额外付费。有关更多信息,请参阅[AWS WAF 定价](https://aws.amazon.com/waf/pricing/)。 将 AWS 托管规则组`AWSManagedRulesATPRuleSet`添加到新的或现有的保护包 (Web ACL) 中,并对其进行配置,使其不会改变当前保护包 (Web ACL) 的行为。有关此规则组的规则和标签的详细信息,请参阅 [AWS WAF 防欺诈控制账户盗用 (ATP) 规则组](aws-managed-rule-groups-atp.md)。 + 添加托管规则组时,对其进行编辑并执行以下操作: + 在**规则组配置**窗格中,提供您的应用程序的登录页面的详细信息。ATP 规则组使用此信息来监控登录活动。有关更多信息,请参阅 [将 ATP 托管规则组添加到您的保护包(web ACL)](waf-atp-rg-using.md)。 + 在**规则**窗格中,打开**覆盖所有规则操作**下拉列表并选择 **Count**。使用此配置, AWS WAF 可以根据规则组中的所有规则评估请求,并仅计算结果的匹配项,同时仍将标签添加到请求中。有关更多信息,请参阅 [覆盖规则组的规则操作](web-acl-rule-group-settings.md#web-acl-rule-group-rule-action-override)。 通过此覆盖,您可以监控 ATP 托管规则的潜在影响,以确定是否要添加例外,例如内部使用案例的例外。 + 定位规则组,使其按照您在保护包(web ACL)中的现有规则进行评估,优先级设置在数值上要高于您已在使用的任何规则或规则组。有关更多信息,请参阅 [设置规则优先级](web-acl-processing-order.md)。 这样,您当前的流量处理就不会中断。例如,如果您有检测恶意流量的规则,例如 SQL 注入或跨站脚本,它们将继续检测并记录这些流量。或者,如果您的规则允许已知的非恶意流量,则它们可以继续允许该流量,而不必被 ATP 托管规则组阻止。在测试和调整活动期间,您可能会决定调整处理顺序。 1. **为保护包(web ACL)启用日志记录和指标** 根据需要,为保护包(Web ACL)配置日志、Amazon Security Lake 数据收集、请求采样和亚马逊 CloudWatch 指标。您可以使用这些可见性工具来监控 ATP 托管规则组与您的流量的交互情况。 + 有关配置和使用日志记录的信息,请参阅 [记录 AWS WAF 保护包 (Web ACL) 流量](logging.md)。 + 有关 Amazon Security Lake 的信息,请参阅[什么是亚马逊安全湖?](https://docs.aws.amazon.com/security-lake/latest/userguide/what-is-security-lake.html) 以及 *Amazon Security Lake 用户指南*中的[从 AWS 服务中收集数据](https://docs.aws.amazon.com/security-lake/latest/userguide/internal-sources.html)。 + 有关 Amazon CloudWatch 指标的信息,请参阅[使用 Amazon 进行监控 CloudWatch](monitoring-cloudwatch.md)。 + 有关 web 请求采样的信息,请参阅 [查看 web 请求示例](web-acl-testing-view-sample.md)。 1. **将保护包(web ACL)与资源关联** 如果保护包(web ACL)尚未与测试资源关联,请将其关联。有关信息,请参阅[将保护与资源关联或取消关联 AWS](web-acl-associating-aws-resource.md)。 1. **监控流量和 ATP 规则匹配情况** 确保您的正常流量畅通,并且 ATP 托管规则组规则正在为匹配的 web 请求添加标签。您可以在日志中看到标签,也可以在 Amazon 指标中查看 ATP 和标签 CloudWatch 指标。在日志中,您在规则组中覆盖计数的规则会显示在 `ruleGroupList` 中,`action` 设置为计数,`overriddenAction` 表示您覆盖的已配置规则操作。 1. **测试规则组的凭证检查功能** 尝试使用已泄露的凭证进行登录,并检查规则组是否按预期与这些凭证匹配。 1. 使用以下 AWS WAF 测试凭据对登录到受保护资源的登录页面: + 用户:`WAF_TEST_CREDENTIAL@wafexample.com` + 密码:`WAF_TEST_CREDENTIAL_PASSWORD` 这些测试凭证被归类为已泄露的凭证,ATP 托管规则组会将 `awswaf:managed:aws:atp:signal:credential_compromised` 标签添加到登录请求中,您可以在日志中看到该标签。 1. 在保护包(web ACL)日志中,在测试登录 web 请求的日志条目 `labels` 字段中查找 `awswaf:managed:aws:atp:signal:credential_compromised` 标签。有关日志记录的信息,请参阅[记录 AWS WAF 保护包 (Web ACL) 流量](logging.md)。 确认规则组按预期捕获被泄露的凭证后,您可以采取措施根据受保护资源的需要配置其实施。 1. **对于 CloudFront 分配,请测试规则组的登录失败管理** 1. 针对您为 ATP 规则组配置的每个失败响应条件运行测试。两次测试之间应至少等待 10 分钟。 要测试单个失败条件,请在响应中根据该条件确定将失败的登录尝试。然后,在不到 10 分钟的时间内,从单个客户端 IP 地址执行至少 10 次失败的登录尝试。 在前 6 次失败之后,容量失败登录规则应开始与您的其余尝试进行匹配,对其进行标记和计数。由于延迟,该规则可能会错过前一两个。 1. 在保护包(web ACL)日志中,在测试登录 web 请求的日志条目 `labels` 字段中查找 `awswaf:managed:aws:atp:aggregate:volumetric:ip:failed_login_response:high` 标签。有关日志记录的信息,请参阅[记录 AWS WAF 保护包 (Web ACL) 流量](logging.md)。 这些测试通过检查失败的登录计数是否超过规则 `VolumetricIpFailedLoginResponseHigh` 的阈值来验证您的失败条件是否与您的响应相符。达到阈值后,如果您继续从同一 IP 地址发送登录请求,则该规则将继续匹配,直到失败率降至阈值以下。当超过阈值时,该规则会匹配从 IP 地址成功或失败的登录。 1. **自定义 ATP web 请求处理** 根据需要,添加您自己的明确允许或阻止请求的规则,以更改 ATP 规则处理请求的方式。 例如,您可以使用 ATP 标签来允许或阻止请求或自定义请求处理。您可以在 ATP 托管规则组之后添加标签匹配规则,以筛选要应用的处理的带标签的请求。测试后,将相关的 ATP 规则保持在计数模式,并在自定义规则中维护请求处理决策。有关示例,请参阅[ATP 示例:针对缺失和被盗凭证的自定义处理](waf-atp-control-example-user-agent-exception.md)。 1. **移除您的测试规则并启用 ATP 托管规则组设置** 根据您的情况,您可能已经决定将某些 ATP 规则保留为计数模式。对于要按照规则组内的配置运行的规则,请在保护包(web ACL)规则组配置中禁用计数模式。完成测试后,您还可以移除测试标签匹配规则。 1. **监控和调整** 为确保 web 请求按您的意愿处理,请在启用要使用的 ATP 功能后密切监控您的流量。根据需要调整行为,使用规则组上的规则计数覆盖和您自己的规则。 在您完成 ATP 规则组实现的测试后,如果您还没有这样做,我们强烈建议您将 AWS WAF JavaScript 软件开发工具包集成到浏览器登录页面中,以增强检测功能。 AWS WAF 还提供用于集成 SDKs iOS 和安卓设备的移动设备。有关集成的更多信息 SDKs,请参阅[中的客户端应用程序集成 AWS WAF](waf-application-integration.md)。有关此建议的信息,请参阅 [使用 SDKs 与 ATP 的应用程序集成](waf-atp-with-tokens.md)。