中的智慧型威脅防禦最佳實務 AWS WAF - AWS WAFAWS Firewall Manager、 AWS Shield Advanced和 AWS Shield 網路安全主管

推出 的新主控台體驗 AWS WAF

您現在可以使用更新後的體驗,在主控台的任何位置存取 AWS WAF 功能。如需詳細資訊,請參閱使用更新的主控台體驗

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

中的智慧型威脅防禦最佳實務 AWS WAF

遵循本節中的最佳實務,以最有效率、最具成本效益的方式實作智慧型威脅緩解功能。

  • 實作 JavaScript 和行動應用程式整合 SDKs – 實作應用程式整合,以最有效的方式啟用完整的 ACFP、ATP 或機器人控制功能。受管規則群組使用 SDKs 提供的字符,在工作階段層級將合法用戶端流量與不需要的流量分開。應用程式整合 SDKs 可確保這些字符隨時可用。如需詳細資訊,請參閱以下:

    使用整合在您的用戶端中實作挑戰,並針對 JavaScript 自訂 CAPTCHA 拼圖如何呈現給最終使用者。如需詳細資訊,請參閱中的用戶端應用程式整合 AWS WAF

    如果您使用 JavaScript API 自訂 CAPTCHA 拼圖,並在保護套件或 Web ACL 的任何位置使用CAPTCHA規則動作,請遵循 用戶端中處理 AWS WAF CAPTCHA 回應的指引從 處理 CAPTCHA 回應 AWS WAF。本指南適用於使用 CAPTCHA動作的任何規則,包括 ACFP 受管規則群組中的規則,以及 Bot Control 受管規則群組的目標保護層級。

  • 限制您傳送至 ACFP、ATP 和 Bot Control 規則群組的請求 – 使用智慧型威脅緩解 AWS 受管規則規則群組會產生額外費用。ACFP 規則群組會檢查您指定之帳戶註冊和建立端點的請求。ATP 規則群組會檢查您指定之登入端點的請求。Bot Control 規則群組會檢查保護套件或 Web ACL 評估中到達的每個請求。

    請考慮以下方法來減少您對這些規則群組的使用:

    • 在受管規則群組陳述式中使用縮小範圍陳述式排除來自檢查的請求。您可以使用任何可巢狀陳述式來執行此操作。如需相關資訊,請參閱在 中使用縮小範圍陳述式 AWS WAF

    • 在規則群組之前新增規則,從檢查中排除請求。對於您無法在縮小範圍陳述式中使用的規則,以及更複雜的情況,例如標記後接標籤比對,您可能想要新增在規則群組之前執行的規則。如需詳細資訊,請參閱 在 中使用縮小範圍陳述式 AWS WAF在 中使用規則陳述式 AWS WAF

    • 在較便宜的規則之後執行規則群組。如果您有其他標準 AWS WAF 規則因任何原因封鎖請求,請在這些付費規則群組之前執行它們。如需規則和規則管理的詳細資訊,請參閱 在 中使用規則陳述式 AWS WAF

    • 如果您使用的是多個智慧型威脅緩解受管規則群組,請依照下列順序執行它們,以降低成本:Bot Control、ATP、ACFP。

    如需更多定價的詳細資訊,請參閱 AWS WAF 定價

  • 請勿限制您傳送至 Anti-DDoS 規則群組的請求 – 當您在 中設定規則群組以監控您未明確允許的所有 Web 流量時,此規則群組運作效果最佳。將其定位在您的 Web ACL 中,只在具有Allow規則動作的規則之後以及在所有其他規則之前進行評估。

  • 對於分散式拒絕服務 (DDoS) 保護,請使用 Anti-DDoS 或 Shield Advanced 自動應用程式層 DDoS 緩解 – 其他智慧型威脅緩解規則群組不提供 DDoS 保護。ACFP 可防止對應用程式的註冊頁面進行詐騙帳戶建立嘗試。ATP 可防止帳戶接管嘗試您的登入頁面。Bot Control 著重於在用戶端工作階段上使用字符和動態速率限制強制執行類似人類的存取模式。

    反 DDoS 可讓您監控和控制 DDoS 攻擊,以便快速回應和緩解威脅。Shield Advanced 搭配自動應用程式層 DDoS 緩解會自動回應偵測到的 DDoS 攻擊,方法是代表您建立、評估和部署自訂 AWS WAF 緩解措施。

    如需 Shield Advanced 的詳細資訊,請參閱 AWS Shield Advanced 概觀使用 AWS Shield Advanced 和 保護應用程式層 (第 7 層) AWS WAF

    如需分散式阻斷服務 (DDoS) 預防的詳細資訊,請參閱 反 DDoS 規則群組分散式阻斷服務 (DDoS) 預防

  • 在正常 Web 流量期間啟用反 DDoS 規則群組和機器人控制規則群組的目標保護層級 – 這些規則類別需要時間來建立正常流量的基準。

    正常 Web 流量期間啟用 Bot Control 規則群組的目標保護層級 – 目標保護層級的某些規則需要時間建立正常流量模式的基準,才能識別和回應不規則或惡意流量模式。例如,TGT_ML_*規則最多需要 24 小時才能暖機。

    當您沒有遭受攻擊時,請新增這些保護,並讓他們有時間建立基準,再預期他們做出適當的回應。如果您在攻擊期間新增這些規則,則需要在計數模式中啟用反 DDoS 規則群組。在攻擊消失後,建立基準的時間通常是正常所需時間的兩倍到三倍,因為攻擊流量增加的擺動。如需規則及其所需的任何暖機時間的詳細資訊,請參閱 規則清單

  • 對於分散式拒絕服務 (DDoS) 保護,請使用 Shield Advanced 自動應用程式層 DDoS 緩解 – 智慧型威脅緩解規則群組不提供 DDoS 保護。ACFP 可防止對應用程式的註冊頁面進行詐騙帳戶建立嘗試。ATP 可防止帳戶接管嘗試您的登入頁面。Bot Control 著重於在用戶端工作階段上使用字符和動態速率限制強制執行類似人類的存取模式。

    當您在啟用自動應用程式層 DDoS 緩解措施的情況下使用 Shield Advanced 時,Shield Advanced 會透過代表您建立、評估和部署自訂 AWS WAF 緩解措施,自動回應偵測到的 DDoS 攻擊。如需 Shield Advanced 的詳細資訊,請參閱 AWS Shield Advanced 概觀使用 AWS Shield Advanced 和 保護應用程式層 (第 7 層) AWS WAF

  • 當您為反 DDoS 規則群組建立基準時,請使用生產流量負載 – 使用人工測試流量來測試其他規則群組是常見的做法。不過,當您測試和建立 Anti-DDoS 規則群組的基準時,建議您使用反映生產環境中負載的流量流程。使用典型流量建立反 DDoS 基準是確保您的資源在生產環境中啟用規則群組時受到保護的最佳方式。

  • 調校和設定字符處理 – 調整保護套件或 Web ACL 的字符處理,以獲得最佳使用者體驗。

  • 使用任意主機規格拒絕請求 – 設定受保護的資源,要求 Web 請求中的Host標頭符合目標資源。您可以接受一個值或一組特定值,例如 myExampleHost.comwww.myExampleHost.com,但不接受主機的任意值。

  • 對於屬於 CloudFront 分佈原始伺服器的 Application Load Balancer,請設定 CloudFront 和 AWS WAF 以進行適當的權杖處理 – 如果您將保護套件或 Web ACL 與 Application Load Balancer 建立關聯,並將 Application Load Balancer 部署為 CloudFront 分佈的原始伺服器,請參閱 屬於 CloudFront 原始伺服器的 Application Load Balancer 所需的組態

  • 部署前測試和調校 – 在您實作保護套件或 Web ACL 的任何變更之前,請遵循本指南中的測試和調校程序,以確保您獲得預期的行為。這對這些付費功能尤其重要。如需一般指引,請參閱 測試和調校您的 AWS WAF 保護。如需付費受管規則群組的特定資訊,請參閱 測試和部署 ACFP測試和部署 ATP測試和部署 AWS WAF 機器人控制