Menguji dan menyebarkanAWS WAFKontrol Bot - AWS WAF, AWS Firewall Manager, dan AWS Shield Advanced

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Menguji dan menyebarkanAWS WAFKontrol Bot

Bagian ini memberikan panduan umum untuk mengkonfigurasi dan mengujiAWS WAFImplementasi Bot Control untuk situs Anda. Langkah-langkah spesifik yang Anda pilih untuk diikuti akan bergantung pada kebutuhan, sumber daya, dan permintaan web yang Anda terima.

catatan

AWSAturan Terkelola dirancang untuk melindungi Anda dari ancaman web umum. Bila digunakan sesuai dengan dokumentasi,AWSGrup aturan Aturan Terkelola menambahkan lapisan keamanan lain untuk aplikasi Anda. Namun,AWSGrup aturan aturan tidak dimaksudkan sebagai pengganti tanggung jawab keamanan Anda, yang ditentukan olehAWSsumber daya yang Anda pilih. Mengacu padaModel Tanggung Jawab Bersamauntuk memastikan bahwa sumber daya Anda diAWSdilindungi dengan benar.

Risiko lalu lintas produksi

Sebelum Anda menerapkan implementasi Kontrol Bot untuk lalu lintas produksi, uji dan setel di lingkungan pementasan atau pengujian hingga Anda merasa nyaman dengan potensi dampak pada lalu lintas Anda. Kemudian uji dan sesuaikan aturan dalam mode hitungan dengan lalu lintas produksi Anda sebelum mengaktifkannya.

Panduan ini ditujukan untuk pengguna yang secara umum mengetahui cara membuat dan mengelolaAWS WAFACL web, aturan, dan kelompok aturan. Topik-topik tersebut dibahas dalam bagian sebelumnya dari panduan ini.

Untuk mengonfigurasi dan menguji implementasi Kontrol Bot

Lakukan langkah-langkah ini terlebih dahulu di lingkungan pengujian, lalu dalam produksi.

  1. Tambahkan grup aturan terkelola Kontrol Bot

    Tambahkan DikelolaAWSkelompok aturanAWSManagedRulesBotControlRuleSetke ACL web baru atau yang sudah ada dan konfigurasikan sehingga tidak mengubah perilaku ACL web saat ini.

    • Saat Anda menambahkan grup aturan terkelola, edit dan, diAturanpanel, nyalakanTetapkan semua tindakan aturan untuk dihitungberalih. Dengan konfigurasi ini,AWS WAFmengevaluasi permintaan terhadap semua aturan dalam grup aturan dan hanya menghitung kecocokan yang dihasilkan, sambil tetap menambahkan label ke permintaan. Untuk informasi selengkapnya, lihat Menetapkan tindakan aturan untuk dihitung di grup aturan.

      Ini memungkinkan Anda untuk memantau dampak aturan Kontrol Bot untuk menentukan apakah Anda ingin menambahkan pengecualian, seperti pengecualian untuk kasus penggunaan internal atau untuk bot yang diinginkan.

    • Posisikan grup aturan sehingga dievaluasi terakhir di ACL web, dengan pengaturan prioritas yang secara numerik lebih tinggi daripada aturan atau grup aturan lain yang sudah Anda gunakan. Untuk informasi selengkapnya, lihat Memproses urutan aturan dan kelompok aturan dalam ACL web.

      Dengan cara ini, penanganan lalu lintas Anda saat ini tidak terganggu. Misalnya, jika Anda memiliki aturan yang mendeteksi lalu lintas berbahaya seperti injeksi SQL atau skrip lintas situs, mereka akan terus mendeteksi dan mencatat bahwa. Sebagai alternatif, jika Anda memiliki aturan yang memungkinkan lalu lintas non-berbahaya yang diketahui, mereka dapat terus mengizinkan lalu lintas itu, tanpa diblokir oleh grup aturan terkelola Bot Control. Anda mungkin memutuskan untuk menyesuaikan urutan pemrosesan selama aktivitas pengujian dan penyetelan Anda.

  2. Aktifkan pengambilan sampel, logging, dan metrik untuk ACL web

    Jika diperlukan, konfigurasikan logging untuk ACL web, dan aktifkan sampling dan Amazon CloudWatchmetrik. Ini memungkinkan Anda untuk memantau interaksi grup aturan terkelola Kontrol Bot dengan lalu lintas Anda.

  3. Mengaitkan ACL web dengan sumber daya

    Jika ACL web belum dikaitkan dengan sumber daya, kaitkan itu. Untuk informasi, lihat Mengaitkan atau memisahkan web ACL denganAWSsumber daya.

  4. Pantau lalu lintas dan kecocokan aturan Kontrol Bot

    Pastikan lalu lintas mengalir dan aturan grup aturan terkelola Kontrol Bot menambahkan label ke permintaan web yang cocok. Anda dapat melihat label di log dan melihat metrik bot dan label di Amazon CloudWatch metrik. Di log, aturan yang telah Anda tetapkan untuk dihitung dalam grup aturan muncul di bawahexcludedRulesdi dalamruleGroupList.

    catatan

    Grup aturan terkelola Bot Control memverifikasi bot menggunakan alamat IP dariAWS WAF. Jika Anda menggunakan Kontrol Bot dan Anda telah memverifikasi bot yang merutekan melalui proxy atau penyeimbang muatan, Anda mungkin perlu mengizinkannya secara eksplisit menggunakan aturan khusus. Untuk informasi tentang cara membuat aturan kustom, lihatAlamat IP yang diteruskan. Untuk informasi tentang bagaimana Anda dapat menggunakan aturan untuk menyesuaikan penanganan permintaan web Kontrol Bot, lihat langkah berikutnya.

  5. Kustomisasi penanganan permintaan web Kontrol Bot

    Jika diperlukan, tambahkan aturan Anda sendiri yang secara eksplisit mengizinkan atau memblokir permintaan, untuk mengubah cara aturan Bot Control menanganinya.

    Bagaimana Anda melakukan ini tergantung pada kasus penggunaan Anda, tetapi berikut ini adalah solusi umum:

    • Secara eksplisit mengizinkan permintaan dengan aturan yang Anda tambahkan sebelum grup aturan terkelola Kontrol Bot. Dengan ini, permintaan yang diizinkan tidak pernah mencapai kelompok aturan untuk evaluasi. Ini dapat membantu memuat biaya penggunaan grup aturan terkelola Kontrol Bot.

    • Kecualikan permintaan dari evaluasi Kontrol Bot dengan pernyataan scope-down di dalam pernyataan grup aturan terkelola Kontrol Bot. Ini berfungsi sama dengan opsi sebelumnya. Ini dapat membantu berisi biaya penggunaan grup aturan terkelola Kontrol Bot karena permintaan yang tidak cocok dengan pernyataan yang lebih khusus tidak mencapai evaluasi grup aturan. Untuk informasi tentang pernyataan scope-down, lihatPernyataan lingkup-down.

      Sebagai contoh, lihat Kecualikan rentang IP dari manajemen bot dan Izinkan lalu lintas dari bot yang Anda kontrol.

    • Gunakan label Kontrol Bot dalam penanganan permintaan untuk mengizinkan atau memblokir permintaan. Tambahkan aturan pencocokan label setelah grup aturan terkelola Kontrol Bot untuk menyaring permintaan berlabel yang ingin Anda izinkan dari yang ingin Anda blokir. Setelah pengujian, simpan aturan Kontrol Bot terkait dalam mode hitungan, dan pertahankan keputusan penanganan permintaan dalam aturan khusus Anda. Untuk informasi tentang pernyataan pencocokan label, lihatPernyataan aturan pencocokan label.

      Sebagai contoh, lihatMemblokir bot terverifikasi,Izinkan bot tertentu yang diblokir, danBuat pengecualian untuk agen pengguna yang diblokir.

    Untuk contoh tambahan, lihat AWS WAFContoh Bot Control.

  6. Jika diperlukan, aktifkan pengaturan grup aturan terkelola Kontrol Bot

    Tergantung pada situasi Anda, Anda mungkin telah memutuskan bahwa Anda ingin meninggalkan beberapa aturan Kontrol Bot dalam mode hitungan. Untuk aturan yang ingin Anda jalankan saat dikonfigurasi di dalam grup aturan, aktifkan konfigurasi aturan reguler. Untuk melakukan ini, nonaktifkan mode hitungan dalam konfigurasi grup aturan ACL web untuk aturan.

  7. Monitor dan tune

    Untuk memastikan bahwa permintaan web ditangani sesuai keinginan, pantau lalu lintas Anda dengan cermat setelah Anda mengaktifkan fungsionalitas Kontrol Bot yang ingin Anda gunakan. Sesuaikan perilaku sesuai kebutuhan dengan penggantian jumlah aturan pada grup aturan dan dengan aturan Anda sendiri.