本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
測試和部署 ACFP
本節提供設定和測試網站 AWS WAF 詐騙控制帳戶建立詐騙預防 (ACFP) 實作的一般指引。您選擇遵循的特定步驟將取決於您收到的需求、資源和 Web 要求。
此資訊是除了有關測試和調整的一般資訊之外,請參閱測試和調整您的 AWS WAF 保護。
注意
AWS 受管規則旨在保護您免受常見網頁威脅的侵害。根據文件使用時, AWS Managed Rules 規則群組會為您的應用程式新增另一層安全性。不過, AWS 受管規則群組並不是用來取代您的安全性責任,而這些責任是由您選取的 AWS 資源所決定。請參閱「共同責任模型
生產流量風險
在為生產流量部署 ACFP 實施之前,請在測試或測試環境中對其進行測試和調整,直到您熟悉對流量的潛在影響為止。然後在啟用規則之前,使用生產流量在計數模式下測試和調整規則。
AWS WAF 提供測試認證,您可以用來驗證您的 ACFP 組態。在下列程序中,您將設定測試 Web ACL 以使用 ACFP 受管規則群組、設定規則以擷取規則群組新增的標籤,然後使用這些測試認證執行帳戶建立嘗試。您可以檢查帳戶建立嘗試的 Amazon CloudWatch 指標,以確認您的 Web ACL 是否已妥善管理嘗試。
本指引適用於一般知道如何建立和管理 AWS WAF Web ACL、規則和規則群組的使用者。這些主題涵蓋在本指南之前的章節中。
設定和測試 AWS WAF 詐騙控制帳戶建立詐騙預防 (ACFP) 實作
請先在測試環境中執行這些步驟,然後在生產環境中執行。
-
在計數模式中 AWS WAF 新增詐騙控制帳戶建立詐騙預防 (ACFP) 受管規則群組
注意
使用此受管規則群組時,會向您收取額外費用。如需詳細資訊,請參閱 AWS WAF 定價
。 將受 AWS 管規則規則群組新增
AWSManagedRulesACFPRuleSet至新的或現有的 Web ACL,並對其進行設定,使其不會改變目前的 Web ACL 行為。如需有關此規則群組之規則和標籤的詳細資訊,請參閱AWS WAF 欺詐控制帳戶創建欺詐預防(ACFP)規則組。-
新增受管規則群組時,請加以編輯並執行下列動作:
-
在規則群組設定窗格中,提供應用程式帳戶註冊和建立頁面的詳細資料。ACFP 規則群組會使用此資訊來監視登入活動。如需詳細資訊,請參閱 將ACFP受管規則群組新增至您的網站 ACL。
-
在「規則」窗格中,開啟「覆寫所有規則動作」下拉式清單並選擇Count。使用此設定時, AWS WAF 會根據規則群組中的所有規則評估要求,並僅計算結果的相符項目,同時仍將標籤新增至要求。如需詳細資訊,請參閱 覆寫規則群組中的規則動作。
透過此覆寫,您可以監視 ACFP 管理規則的潛在影響,以判斷是否要新增例外狀況,例如內部使用案例的例外狀況。
-
-
定位規則群組,使其在 Web ACL 中的現有規則之後進行評估,其優先順序設定的數值高於您已經使用的任何規則或規則群組。如需詳細資訊,請參閱 在 Web 中設定規則優先順序 ACL。
這樣,您當前的流量處理不會中斷。例如,如果您有偵測惡意流量的規則,例如 SQL 插入或跨網站指令碼,他們將繼續偵測並記錄該流量。或者,如果您有允許已知非惡意流量的規則,它們可以繼續允許該流量,而不會讓 ACFP 受管規則群組封鎖該流量。您可能會決定在測試和調整活動期間調整處理順序。
-
-
實作應用程式整合 SDK
將 AWS WAF JavaScript SDK 整合到瀏覽器的帳戶註冊和帳戶建立路徑中。 AWS WAF 還提供移動軟件開發套件,以集成 iOS 和安卓設備。如需整合 SDK 的詳細資訊,請參閱使用用戶端應用程式整合 AWS WAF。如需有關此建議的資訊,請參閱使用應用程式整SDKs合 ACFP。
注意
如果您無法使用應用程式整合 SDK,可以透過在 Web ACL 中編輯 ACFP 規則群組並移除您置於規則上的覆寫來測試 ACFP 規則群組。
AllRequests這會啟用規則的Challenge動作設定,以確保要求包含有效的挑戰 Token。首先在測試環境中執行此操作,然後在生產環境中小心執行此操作。這種方法有可能阻止用戶。例如,如果您的註冊頁面路徑不接受
GETtext/html 請求,則此規則配置可以有效地阻止註冊頁面上的所有請求。 -
啟用 Web ACL 的記錄和指標
視需要設定網路 ACL 的記錄、Amazon 安全湖資料收集、請求取樣和 Amazon CloudWatch 指標。您可以使用這些可見度工具來監視 ACFP 受管規則群組與流量的互動。
-
如需日誌記錄的相關資訊,請參閱日誌 AWS WAF 網路ACL流量。
-
有關 Amazon 安全湖的信息,請參閱什麼是 Amazon 安全湖? 以及從 Amazon 安全湖使用者指南中的 AWS 服務收集資料。
-
如需 Amazon CloudWatch 指標的相關資訊,請參閱使用 Amazon 監控 CloudWatch。
-
如需 Web 請求取樣的詳細資訊,請參閱檢視 Web 請求的範例。
-
-
將網路 ACL 與資源建立關聯
如果 Web ACL 尚未與測試資源相關聯,請將其關聯。如需相關資訊,請參閱關聯或取消關聯網與 ACL AWS 資源。
-
監控流量和 ACFP 規則符合
請確定您的一般流量正在流動,而且 ACFP 受管規則群組規則正在新增標籤至相符的 Web 要求。您可以在日誌中看到標籤,並在 Amazon 指標中查看 ACFP 和標籤 CloudWatch 指標。在記錄檔中,您覆寫規則群組中要計數的規則會顯示在
action設定為 countruleGroupList的規則中,並overriddenAction指示您覆寫的已設定規則動作。 -
測試規則群組的認證檢查功能
使用測試遭到入侵的認證執行帳戶建立嘗試,並檢查規則群組是否符合預期。
-
存取受保護資源的帳號註冊頁面,並嘗試新增帳號。使用以下 AWS WAF 測試憑證對並輸入任何測試
-
使用者:
WAF_TEST_CREDENTIAL@wafexample.com -
密碼:
WAF_TEST_CREDENTIAL_PASSWORD
這些測試認證會歸類為遭到入侵的認證,而 ACFP 管理規則群組會將
awswaf:managed:aws:acfp:signal:credential_compromised標籤新增至帳戶建立要求,您可以在記錄檔中看到這些要求。 -
-
在您的 Web ACL 日誌中,在測試帳戶創建請求的日誌條目的
labels字段中查找awswaf:managed:aws:acfp:signal:credential_compromised標籤。如需日誌記錄的相關資訊,請參閱日誌 AWS WAF 網路ACL流量。
驗證規則群組如預期擷取遭到入侵的認證之後,您可以根據受保護的資源所需採取步驟來設定其實作。
-
-
對於 CloudFront 分發,請測試規則群組對批次建立帳號嘗試的管理
針對您為 ACFP 規則群組設定的每個成功回應條件執行此測試。測試之間至少等待 30 分鐘。
-
對於每個成功條件,請確定帳戶創建嘗試,該嘗試將在響應中成功使用該成功條件。然後,在單個客戶端會話中,在 30 分鐘內執行至少 5 次成功創建帳戶嘗試。使用者通常只會在您的網站上建立一個帳戶。
第一次成功建立帳戶之後,
VolumetricSessionSuccessfulResponse規則應該會根據您的規則動作覆寫規則,開始與帳戶建立回應的其餘部分進行比對,並加上標籤並計算這些回應。由於延遲,規則可能會錯過前一個或兩個規則。 -
在您的 Web ACL 記錄中,在測試帳戶建立 Web 請求的記錄項目
labels欄位中尋找awswaf:managed:aws:acfp:aggregate:volumetric:session:successful_creation_response:high標籤。如需日誌記錄的相關資訊,請參閱日誌 AWS WAF 網路ACL流量。
這些測試會檢查規則彙總的成功計數是否超過規則的臨界值,以驗證您的成功條件是否符合您的回應。達到臨界值之後,如果您繼續從相同的工作階段傳送帳戶建立要求,規則將繼續符合,直到成功率降至閾值以下為止。當超過臨界值時,規則會符合從工作階段位址建立成功或失敗的帳號建立嘗試。
-
-
自訂 ACFP 網頁要求處理
視需要新增明確允許或封鎖要求的自己規則,以變更 ACFP 規則處理要求的方式。
例如,您可以使用 ACFP 標籤來允許或封鎖要求或自訂要求處理。您可以在 ACFP 管理規則群組之後新增標籤比對規則,以篩選要套用之處理的標籤要求。測試之後,請將相關的 ACFP 規則保持在計數模式中,並在自訂規則中維護要求處理決策。如需範例,請參閱ACFP 範例:對遭到入侵認證的自訂回應。
-
移除測試規則並啟用 ACFP 受管規則群組設定
根據您的情況,您可能已決定要將某些 ACFP 規則保留為計數模式。針對您要在規則群組內設定執行的規則,請停用 Web ACL 規則群組組態中的計數模式。完成測試後,您也可以移除測試標籤比對規則。
-
監控和調整
為了確保網頁要求能夠依照您的需求處理,請在啟用想要使用的 ACFP 功能之後,密切監視您的流量。使用規則群組上的規則計數覆寫,並使用您自己的規則,視需要調整行為。
完成測試 ACFP 規則群組實作之後,如果您尚未將 AWS WAF JavaScript SDK 整合到瀏覽器的帳戶註冊和帳戶建立頁面中,我們強烈建議您這麼做。 AWS WAF 還提供移動軟件開發套件,以集成 iOS 和安卓設備。如需整合 SDK 的詳細資訊,請參閱使用用戶端應用程式整合 AWS WAF。如需有關此建議的資訊,請參閱使用應用程式整SDKs合 ACFP。
