**推出 的新主控台體驗 AWS WAF** 您現在可以使用更新後的體驗,在主控台的任何位置存取 AWS WAF 功能。如需詳細資訊,請參閱[使用 主控台](https://docs.aws.amazon.com/waf/latest/developerguide/working-with-console.html)。 本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。 # 測試和部署 ACFP 本節提供為您的網站設定和測試 AWS WAF 詐騙控制帳戶建立詐騙預防 (ACFP) 實作的一般指引。您選擇遵循的特定步驟將取決於您收到的需求、資源和 Web 請求。 此資訊是 所提供測試和調校的一般資訊之外的。 [測試和調校您的 AWS WAF 保護](web-acl-testing.md) **注意** AWS 受管規則旨在保護您免受常見的 Web 威脅。根據文件使用時, AWS 受管規則規則群組會為您的應用程式新增另一層安全性。不過, AWS 受管規則規則群組並非旨在取代您的安全責任,這取決於您選擇的 AWS 資源。請參閱 [共同責任模型](https://aws.amazon.com/compliance/shared-responsibility-model/),以確保您在 中的資源 AWS 受到適當保護。 **生產流量風險** 在部署生產流量的 ACFP 實作之前,請在預備或測試環境中進行測試和調校,直到您對流量的潛在影響感到滿意為止。然後,使用生產流量在計數模式中測試和調校規則,然後再啟用它們。 AWS WAF 提供測試登入資料,您可以用來驗證 ACFP 組態。在下列程序中,您將設定測試保護套件 (Web ACL) 以使用 ACFP 受管規則群組、設定規則以擷取規則群組新增的標籤,然後使用這些測試憑證執行帳戶建立嘗試。您將檢查帳戶建立嘗試的 Amazon CloudWatch 指標,以確認您的保護套件 (Web ACL) 已正確管理嘗試。 本指南適用於通常知道如何建立和管理 AWS WAF 保護套件 (Web ACLs)、規則和規則群組的使用者。這些主題涵蓋在本指南的先前章節中。 **設定和測試 AWS WAF 詐騙控制帳戶建立詐騙預防 (ACFP) 實作** 請先在測試環境中執行這些步驟,然後在生產環境中執行這些步驟。 1. **在計數模式中新增 AWS WAF 詐騙控制帳戶建立詐騙預防 (ACFP) 受管規則群組** **注意** 當您使用此受管規則群組時,需支付額外費用。如需詳細資訊,請參閱[AWS WAF 定價](https://aws.amazon.com/waf/pricing/)。 將 AWS 受管規則規則群組`AWSManagedRulesACFPRuleSet`新增至新的或現有的保護套件 (Web ACL),並加以設定,使其不會變更目前的保護套件 (Web ACL) 行為。如需此規則群組之規則和標籤的詳細資訊,請參閱 [AWS WAF 詐騙控制帳戶建立詐騙預防 (ACFP) 規則群組](aws-managed-rule-groups-acfp.md)。 + 當您新增受管規則群組時,請進行編輯並執行下列動作: + 在**規則群組組態**窗格中,提供應用程式帳戶註冊和建立頁面的詳細資訊。ACFP 規則群組會使用此資訊來監控登入活動。如需詳細資訊,請參閱[將 ACFP 受管規則群組新增至 Web ACL](waf-acfp-rg-using.md)。 + 在**規則**窗格中,開啟**覆寫所有規則動作**下拉式清單,然後選擇 **Count**。使用此組態, 會根據規則群組中的所有規則 AWS WAF 評估請求,並僅計算該結果的相符項目,同時仍將標籤新增至請求。如需詳細資訊,請參閱[覆寫規則群組中的規則動作](web-acl-rule-group-settings.md#web-acl-rule-group-rule-action-override)。 透過此覆寫,您可以監控 ACFP 受管規則的潛在影響,以判斷您是否要新增例外狀況,例如內部使用案例的例外狀況。 + 放置規則群組,以便在保護套件 (Web ACL) 中現有規則之後進行評估,其優先順序設定在數值上高於您已使用的任何規則或規則群組。如需詳細資訊,請參閱[設定規則優先順序](web-acl-processing-order.md)。 如此一來,您目前的流量處理不會中斷。例如,如果您有偵測惡意流量的規則,例如 SQL Injection 或跨網站指令碼,它們將繼續偵測並記錄。或者,如果您有允許已知非惡意流量的規則,則可以繼續允許該流量,而不會被 ACFP 受管規則群組封鎖。您可以在測試和調校活動期間決定調整處理順序。 1. **實作應用程式整合 SDKs** 將 AWS WAF JavaScript SDK 整合到瀏覽器的帳戶註冊和帳戶建立路徑。 AWS WAF 也提供行動 SDKs來整合 iOS 和 Android 裝置。如需整合 SDKs的詳細資訊,請參閱 [中的用戶端應用程式整合 AWS WAF](waf-application-integration.md)。如需此建議的相關資訊,請參閱 [搭配 ACFP 使用應用程式整合 SDKs](waf-acfp-with-tokens.md)。 **注意** 如果您無法使用應用程式整合 SDKs,則可以在保護套件 (Web ACL) 中編輯 ACFP 規則群組,並移除您在規則上放置的覆寫,以測試 ACFP `AllRequests`規則群組。這會啟用規則Challenge的動作設定,以確保請求包含有效的挑戰字符。 *首先在測試環境中執行此操作,然後在生產環境中非常小心。*這種方法可能會封鎖使用者。例如,如果您的註冊頁面路徑不接受`GET`文字/html 請求,則此規則組態可以有效地封鎖註冊頁面上的所有請求。 1. **啟用保護套件的記錄和指標 (Web ACL)** 視需要設定 保護套件 (Web ACL) 的記錄、Amazon Security Lake 資料收集、請求取樣和 Amazon CloudWatch 指標。您可以使用這些可見性工具來監控 ACFP 受管規則群組與流量的互動。 + 如需日誌記錄的相關資訊,請參閱[記錄 AWS WAF 保護套件 (Web ACL) 流量](logging.md)。 + 如需 Amazon Security Lake 的相關資訊,請參閱《[Amazon Security Lake 使用者指南》中的什麼是 Amazon Security Lake?](https://docs.aws.amazon.com/security-lake/latest/userguide/what-is-security-lake.html)以及[從 AWS 服務收集資料](https://docs.aws.amazon.com/security-lake/latest/userguide/internal-sources.html)。 ** + 如需 Amazon CloudWatch 指標的相關資訊,請參閱 [使用 Amazon CloudWatch 監控](monitoring-cloudwatch.md)。 + 如需有關 Web 請求取樣的資訊,請參閱 [檢視 Web 請求的範例](web-acl-testing-view-sample.md)。 1. **將保護套件 (Web ACL) 與資源建立關聯** 如果保護套件 (Web ACL) 尚未與測試資源建立關聯,請建立關聯。如需相關資訊,請參閱[將保護與 AWS 資源建立關聯或取消關聯](web-acl-associating-aws-resource.md)。 1. **監控流量和 ACFP 規則相符項目** 請確定您的正常流量正在流動,而且 ACFP 受管規則群組規則正在將標籤新增至相符的 Web 請求。您可以在日誌中查看標籤,並在 Amazon CloudWatch 指標中查看 ACFP 和標籤指標。在 日誌中,您已覆寫規則群組中計數的規則會顯示在 中,`ruleGroupList`並將 `action` 設定為計數,並`overriddenAction`指出您覆寫的已設定規則動作。 1. **測試規則群組的登入資料檢查功能** 使用測試洩露的登入資料執行帳戶建立嘗試,並檢查規則群組是否如預期相符。 1. 存取受保護資源的帳戶註冊頁面,並嘗試新增新帳戶。使用以下 AWS WAF 測試登入資料對並輸入任何測試 + 使用者: `WAF_TEST_CREDENTIAL@wafexample.com` + 密碼: `WAF_TEST_CREDENTIAL_PASSWORD` 這些測試登入資料會分類為遭到入侵的登入資料,而 ACFP 受管規則群組會將`awswaf:managed:aws:acfp:signal:credential_compromised`標籤新增至帳戶建立請求,您可以在日誌中看到。 1. 在保護套件 (Web ACL) 日誌中,在測試帳戶建立請求的日誌項目的 `labels` 欄位中尋找`awswaf:managed:aws:acfp:signal:credential_compromised`標籤。如需日誌記錄的相關資訊,請參閱[記錄 AWS WAF 保護套件 (Web ACL) 流量](logging.md)。 驗證規則群組如預期擷取遭入侵的登入資料後,您可以採取步驟來設定其實作,以因應受保護資源的需求。 1. **針對 CloudFront 分佈,測試規則群組的大量帳戶建立嘗試管理** 針對您為 ACFP 規則群組設定的每個成功回應條件執行此測試。在測試之間等待至少 30 分鐘。 1. 針對您的每個成功條件,識別在回應中使用該成功條件成功的帳戶建立嘗試。然後,從單一用戶端工作階段,在 30 分鐘內執行至少 5 次成功的帳戶建立嘗試。使用者通常只會在您的網站上建立單一帳戶。 第一次成功建立帳戶後,`VolumetricSessionSuccessfulResponse`規則應該會根據您的規則動作覆寫,開始比對您帳戶建立回應的其餘部分,並加上標籤和計數。規則可能會因為延遲而遺漏前一或兩個。 1. 在保護套件 (Web ACL) 日誌中,在測試帳戶建立 Web 請求的日誌項目的 `labels` 欄位中尋找`awswaf:managed:aws:acfp:aggregate:volumetric:session:successful_creation_response:high`標籤。如需日誌記錄的相關資訊,請參閱[記錄 AWS WAF 保護套件 (Web ACL) 流量](logging.md)。 這些測試會檢查規則彙總的成功計數是否超過規則的閾值,以驗證您的成功條件是否符合您的回應。達到閾值後,如果您繼續從相同工作階段傳送帳戶建立請求,則規則將繼續相符,直到成功率低於閾值為止。超過閾值時,規則會同時符合工作階段地址中成功或失敗的帳戶建立嘗試。 1. **自訂 ACFP Web 請求處理** 視需要新增您自己的規則,明確允許或封鎖請求,以變更 ACFP 規則處理它們的方式。 例如,您可以使用 ACFP 標籤來允許或封鎖請求,或自訂請求處理。您可以在 ACFP 受管規則群組之後新增標籤比對規則,以篩選要套用之處理方式的標記請求。測試之後,請將相關的 ACFP 規則保持在計數模式中,並在您的自訂規則中維護請求處理決策。如需範例,請參閱 [ACFP 範例:針對遭到入侵的登入資料進行自訂回應](waf-acfp-control-example-compromised-credentials.md)。 1. **移除您的測試規則並啟用 ACFP 受管規則群組設定** 根據您的情況,您可能已決定要將一些 ACFP 規則保留在計數模式中。對於您想要在規則群組中依設定執行的規則,請在保護套件 (Web ACL) 規則群組組態中停用計數模式。完成測試後,您也可以移除測試標籤比對規則。 1. **監控和調校** 為了確保 Web 請求可依您想要的方式處理,請在啟用您要使用的 ACFP 功能後密切監控流量。視需要使用規則群組上的規則計數覆寫和您自己的規則來調整行為。 完成測試 ACFP 規則群組實作後,如果您尚未將 AWS WAF JavaScript 開發套件整合至瀏覽器的帳戶註冊和帳戶建立頁面,我們強烈建議您這麼做。 AWS WAF 也提供行動SDKs,以整合 iOS 和 Android 裝置。如需整合 SDKs的詳細資訊,請參閱 [中的用戶端應用程式整合 AWS WAF](waf-application-integration.md)。如需此建議的相關資訊,請參閱 [搭配 ACFP 使用應用程式整合 SDKs](waf-acfp-with-tokens.md)。