本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
更新解決方案
如果您先前已部署解決方案,請依照此程序更新解決方案的 CloudFormation 堆疊,以取得解決方案架構的最新版本。更新堆疊之前,請先仔細閱讀更新考量事項。
-
在左側導覽功能表中選取堆疊。
-
選取您現有的
aws-waf-security-automationsCloudFormation 堆疊。 -
選擇更新。
-
選取取代目前範本。
-
在指定範本下:
-
選取 Amazon S3 URL。
-
複製
aws-waf-security-automations.templateAWS CloudFormation 的連結。 -
將連結貼到 Amazon S3 URL 方塊中。
-
驗證 Amazon S3 URL 文字方塊中顯示的範本 URL 是否正確。
-
選擇下一步。
-
再次選擇 Next (下一步)。
-
-
在參數下,檢閱範本的參數並視需要修改。請參閱步驟 1。如需參數的詳細資訊,請啟動 堆疊。
-
選擇下一步。
-
在 Configure stack options (設定堆疊選項) 頁面,選擇 Next (下一步)。
-
在檢視 頁面上,檢視和確認的設定。
-
選取確認範本可能會建立 IAM 資源的方塊。
-
選擇檢視變更集並驗證變更。
-
選擇更新堆疊以部署堆疊。
您可以在狀態欄的 AWS CloudFormation 主控台中查看堆疊的狀態。您應該會在大約 15 分鐘內看到 UPDATE_COMPLETE 狀態。
更新考量事項
下列各節提供更新此解決方案的限制條件和考量事項。
資源類型更新
您必須在建立堆疊後部署新的堆疊來更新端點參數。更新堆疊時,請勿變更端點參數。
WAFV2 升級
從 3.0 版開始,此解決方案支援 AWS WAFV2。我們將所有 AWS WAF Classic API 呼叫取代為 AWS WAFV2 API 呼叫。這會移除 Node.js 上的相依性,並使用up-to-date執行時間。若要繼續使用此解決方案搭配最新的功能和改進,您必須將 3.0 版或更新版本部署為新的堆疊。
堆疊更新時的自訂
out-of-box解決方案會使用 CloudFormation 堆疊,將一組具有預設組態的 AWS WAF 規則部署到您的 AWS 帳戶。我們不建議將自訂套用至解決方案部署的規則。堆疊更新會覆寫這些變更。如果您需要自訂規則,建議您在解決方案之外建立單獨的規則。
無效的機器人保護升級
在 4.1.0 版中,具有 API Gateway 的 Access Handler Lambda 已棄用,並取代為 Log parser - Bad bot 功能的增強型日誌功能。解決方案現在會重複使用日誌串流來偵測錯誤的機器人,而不是透過 API Gateway 使用直接請求。
先前的實作:
-
必要的存取處理常式 Lambda 和 API Gateway。
-
使用 Honeypot 端點直接處理請求。
-
網站中必要的內嵌 Honeypot 端點。
新的實作 (4.1.0+):錯誤的機器人保護日誌剖析器現在:
-
透過 日誌檢查對 Honeypot 端點的請求。
-
啟動錯誤機器人保護時處理請求。
-
使用 WAF 篩選條件 BadBotRuleFilter 來識別錯誤的機器人請求。
-
分析日誌資料以識別超過定義配額的 IP 地址。
-
更新 AWS WAF IP 集合條件以封鎖已識別的地址。
此變更會消除重複的功能並利用現有的日誌處理功能,以簡化架構。
CDK 升級
從 4.1.0 版開始,CDK 支援此解決方案。如果從低於 v4.1.0 的版本遷移。在 Cloudformation 中使用新範本並更新解決方案。然後,您可以使用 cdk 部署開始透過終端機在本機更新解決方案 (如需詳細資訊,請參閱 README) 如果您嘗試直接使用 cdk 部署,您可能會看到此錯誤:流程集合中的縮排不足
另一種更新解決方案的方式是使用解決方案提供的範本,並前往 AWS 主控台的 Cloudformation 區段,然後按一下更新解決方案,然後將新範本貼到那裡。
注意
如果您要從 3.0 版或 3.1 版升級至此解決方案的 3.2 版或更新版本,而且您已手動將 IP 地址插入允許或拒絕的 IP 集,則會有遺失這些 IP 地址的風險。若要防止這種情況發生,請在升級解決方案之前,在允許或拒絕的 IP 集中複製 IP 地址。然後,完成升級後,視需要將 IP 地址加回 IP 集。請參閱 get-ip-set 和 update-ip-set CLI 命令。如果您已使用 3.2 版或更新版本,請忽略此步驟。
