中智能缓解威胁的最佳实践 AWS WAF - AWS WAF、 AWS Firewall ManagerAWS Shield Advanced、和 AWS Shield 网络安全总监

引入全新的主机体验 AWS WAF

现在,您可以使用更新的体验访问控制台中任意位置的 AWS WAF 功能。有关更多详细信息,请参阅 使用更新的主机体验

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

中智能缓解威胁的最佳实践 AWS WAF

请遵循本节中的最佳实践,以最有效、最具成本效益的方式实施智能威胁缓解功能。

  • 实施 JavaScript 和移动应用程序集成 SDKs — 实施应用程序集成,以尽可能有效的方式启用全套 ACFP、ATP 或 Bot Control 功能。托管规则组使用提供的令牌在会话级别 SDKs 将合法的客户端流量与不需要的流量区分开来。应用程序集成可 SDKs 确保这些令牌始终可用。有关详细信息,请参阅:

    使用集成在您的客户端中实现挑战,并自定义向最终用户展示验证码谜题的方式。 JavaScript有关更多信息,请参阅 中的客户端应用程序集成 AWS WAF

    如果您使用 JavaScript API 自定义验证码谜题,并且在保护包或 Web ACL 中的任何位置使用CAPTCHA规则操作,请按照客户端中处理 AWS WAF 验证码响应的指南进行操作,网址为。处理来自的验证码响应 AWS WAF本指南适用于使用该 CAPTCHA 操作的任何规则,包括 ACFP 托管规则组中的规则和机器人控制功能托管规则组的目标保护级别。

  • 限制您发送到 ACFP、ATP 和 Bot Control 规则组的请求 — 使用智能威胁缓解 AWS 托管规则组会产生额外费用。ACFP 规则组检查向您指定的账户注册和创建端点发出的请求。ATP 规则组检查发往您指定的登录端点的请求。Bot Control 规则组会检查保护包或 Web ACL 评估中到达它的每个请求。

    请考虑以下方法来减少对这些规则组的使用:

    • 使用托管规则组语句中的范围缩小语句将请求排除在检查范围之外。您可以用任何可嵌套的语句来做到这一点。有关信息,请参阅在中使用范围缩小语句 AWS WAF

    • 通过在规则组之前添加规则,将请求排除在检查范围之外。对于不能在范围缩小语句中使用的规则以及更复杂的情况(例如标签后进行标签匹配),您可能需要添加在规则组之前运行的规则。有关更多信息,请参阅 在中使用范围缩小语句 AWS WAF在中使用规则语句 AWS WAF

    • 按照成本较低的规则运行规则组。如果您有其他标准 AWS WAF 规则出于任何原因阻止请求,请在这些付费规则组之前运行它们。有关规则和规则管理的更多信息,请参阅 在中使用规则语句 AWS WAF

    • 如果您使用多个智能威胁缓解托管规则组,请按以下顺序运行这些规则组以降低成本:机器人控制功能、ATP、ACFP。

    有关详细定价信息,请参阅 AWS WAF 定价

  • 不要限制发送到 Anti-DDo S 规则组的请求 — 当您将该规则组配置为监控所有未明确允许通过的 Web 流量时,该规则组的运行效果最佳。将其放置在您的 Web ACL 中,使其仅在具有规则操作的Allow规则之后和所有其他规则之前进行评估。

  • 要进行分布式拒绝服务 (DDoS) 防护,请使用 Anti-DDo S 或 Shield Advanced 自动应用层 DDo S 缓解 — 其他智能威胁缓解规则组不提供 DDo S 保护。ACFP 可防止有人尝试在您的应用程序的注册页面上创建欺诈账户。ATP 可防止有人企图盗用您的登录页面。机器人控制功能侧重于使用令牌强制执行类似人类的访问模式,并对客户端会话进行动态速率限制。

    Anti-DDo S 允许您监视和控制 DDo S 攻击,从而实现快速响应和缓解威胁。具有自动应用层 DDo S 缓解功能的 Shield Advanced 通过代表您创建、评估和部署自定义 AWS WAF 缓解措施,自动响应检测到的 DDo S 攻击。

    有关 Shield Advanced 的更多信息,请参阅 AWS Shield Advanced 概述使用和保护应用层(第 7 层) AWS Shield AdvancedAWS WAF

    有关分布式拒绝服务防护的更多信息,请参阅反 DDo S 规则组分布式拒绝服务防护 DDo。DDo

  • 在正常网络流量期间启用 Anti-DDo S 规则组和 Bot Control 规则组的目标保护级别 — 这些规则类别需要时间来建立正常流量的基准。

    在正常 Web 流量期间启用机器人控制功能规则组的目标保护级别 – 某些目标保护级别的规则需要一段时间来建立正常流量模式的基准,然后才能识别和响应不规则或恶意的流量模式。例如,TGT_ML_* 规则最长需要 24 小时才能预热。

    当你没有遇到攻击时,可以添加这些保护措施,让他们有时间确定基准,然后再期望他们做出适当的响应。如果您在攻击期间添加这些规则,则需要在计数模式下启用 Anti-DDo S 规则组。攻击消退后,由于攻击流量会增加偏差,因此建立基线的时间通常是正常所需时间的两倍到三倍。有关规则及其所需的任何预热时间的更多信息,请参阅 规则列表

  • 要进行分布式拒绝服务 (DDoS) 防护,请使用 Shield Advanced 自动应用层 DDo S 缓解 — 智能威胁缓解规则组不提供 DDo S 保护。ACFP 可防止有人尝试在您的应用程序的注册页面上创建欺诈账户。ATP 可防止有人企图盗用您的登录页面。机器人控制功能侧重于使用令牌强制执行类似人类的访问模式,并对客户端会话进行动态速率限制。

    当你在启用自动应用层 DDo S 缓解的情况下使用 Shield Advanced 时,Shield Advanced 会通过代表你创建、评估和部署自定义 AWS WAF 缓解措施来自动响应检测到的 DDo S 攻击。有关 Shield Advanced 的更多信息,请参阅 AWS Shield Advanced 概述使用和保护应用层(第 7 层) AWS Shield AdvancedAWS WAF

  • 在为 Anti-DDo S 规则组建立基准时使用生产流量负载 — 通常的做法是使用人工测试流量来测试其他规则组。但是,在测试和建立 Anti-DDo S 规则组的基准时,我们建议您使用反映生产环境负载的流量。在生产环境中启用规则组后,使用典型流量建立 Anti-DDo S 基准是确保您的资源得到保护的最佳方法。

  • 调整和配置令牌处理-调整保护包或 Web ACL 的令牌处理以获得最佳用户体验。

  • 拒绝具有任意主机规格的请求 – 将您的受保护资源配置为要求 Web 请求中的 Host 标头与目标资源匹配。您可以接受一个值或一组特定的值,例如 myExampleHost.comwww.myExampleHost.com,但不接受主机的任意值。

  • 对于作为 CloudFront 分配来源的应用程序负载均衡器,请配置 CloudFront 并 AWS WAF 进行适当的令牌处理 — 如果您将保护包或 Web ACL 关联到应用程序负载均衡器,并将应用程序负载均衡器部署为 CloudFront 分配的来源,请参阅作为来源的应用程序负载均衡器的必需配置 CloudFront

  • 部署前进行测试和调整 — 在对保护包或 Web ACL 进行任何更改之前,请按照本指南中的测试和调整程序进行操作,以确保获得预期的行为。这对于这些付费功能特别重要。有关一般指导,请参阅 测试和调整您的 AWS WAF 保护措施。有关付费托管规则组的特定信息,请参阅 测试和部署 ACFP测试和部署 ATP测试和部署 AWS WAF 机器人控制