本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
將 ACFP 管理規則群組新增至您的網路 ACL
若要設定 ACFP 受管規則群組以辨識 Web 流量中的帳戶建立詐騙活動,您需要提供有關用戶端如何存取註冊頁面的資訊,並將帳戶建立要求傳送至您的應用程式。對於受保護的 Amazon CloudFront 分發,您還提供應用程式如何回應帳戶建立請求的相關資訊。此組態是受管理規則群組的一般組態以外的配置。
如需規則群組說明與規則清單,請參閱AWS WAF 欺詐控制帳戶創建欺詐預防(ACFP)規則組。
注意
ACFP 失竊的認證資料庫僅包含電子郵件格式的使用者名稱。
本指引適用於一般知道如何建立和管理 AWS WAF Web ACL、規則和規則群組的使用者。這些主題涵蓋在本指南之前的章節中。如需如何將受管規則群組新增至 Web ACL 的基本資訊,請參閱透過主控台將受管規則群組新增至 Web ACL。
遵循最佳做法
請依照上智慧型威脅緩解的最佳做法的最佳作法使用 ACFP 規則群組。
若要在 Web ACL 中使用AWSManagedRulesACFPRuleSet
規則群組
-
將受 AWS 管規則群組新增
AWSManagedRulesACFPRuleSet
至 Web ACL,然後在儲存前編輯規則群組設定。注意
使用此受管規則群組時,會向您收取額外費用。如需詳細資訊,請參閱 AWS WAF 定價
。 在規則群組組態窗格中,提供 ACFP 規則群組用來檢查帳戶建立要求的資訊。
-
對於在路徑中使用規則運算式,如果您要針對註冊和帳戶建立頁面路徑規格執行規則運算式比對,請 AWS WAF 將此選項切換為開啟。
AWS WAF 支援 PCRE 程式庫所使用的模式語法,但
libpcre
有一些例外。該庫在 PCRE-Perl 兼容的正則表達式中記錄。如需有關 AWS WAF 支援的資訊,請參閱正則表達式模式匹配 AWS WAF。 -
對於「註冊」頁面路徑,請提供應用程式註冊頁面端點的路徑。此頁面必須接受
GET
文字 /html 要求。規則群組只會檢查指定註冊頁面端點的 HTTPGET
文字 /html 要求。注意
端點的比對不區分大小寫。正則表達式規範不能包含標誌
(?-i)
,這會禁用不區分大小寫的匹配。字串規格必須以正斜線開頭/
。例如,對於 URL
https://example.com/web/registration
,您可以提供字串路徑規格/web/registration
。以您提供的路徑開頭的註冊頁面路徑會被視為相符項目。例如,/web/registration
符合註冊路徑/web/registration
/web/registration/
/web/registrationPage
、/web/registration/thisPage
、和,但不符合路徑/home/web/registration
或/website/registration
。注意
請確定您的使用者在提交帳戶建立要求之前載入註冊頁面。這有助於確保來自客戶端的帳戶創建請求包含有效令牌。
-
對於帳戶創建路徑,請在您的網站中提供接受完成的新用戶詳細信息的 URI。此 URI 必須接受
POST
請求。注意
端點的比對不區分大小寫。正則表達式規範不能包含標誌
(?-i)
,這會禁用不區分大小寫的匹配。字串規格必須以正斜線開頭/
。例如,對於 URL
https://example.com/web/newaccount
,您可以提供字串路徑規格/web/newaccount
。以您提供的路徑開頭的帳戶建立路徑會被視為相符項目。例如,/web/newaccount
符合帳戶建立路徑/web/newaccount
/web/newaccount/
/web/newaccountPage
、/web/newaccount/thisPage
、和,但不符合路徑/home/web/newaccount
或/website/newaccount
。 -
針對要求檢查,請指定應用程式接受帳戶建立嘗試的方式,方法是提供要求承載類型,以及要求內文中提供使用者名稱、密碼和其他帳戶建立詳細資訊的欄位名稱。
注意
對於主要地址和電話號碼欄位,請依照欄位出現在要求承載中的順序提供欄位。
欄位名稱的指定取決於裝載類型。
-
JSON 裝載類型 — 以 JSON 指標語法指定欄位名稱。如需 JSON 指標語法的相關資訊,請參閱網際網路工程工作小組 (IETF) 文JavaScript件物件標記法 (JSON) 指標
。 例如,對於下列範例 JSON 承載,使用者名稱欄位規格為
/signupform/username
,主要位址欄位規格為/signupform/addrp1
/signupform/addrp2
、和/signupform/addrp3
。{ "signupform": { "username": "THE_USERNAME", "password": "THE_PASSWORD", "addrp1": "PRIMARY_ADDRESS_LINE_1", "addrp2": "PRIMARY_ADDRESS_LINE_2", "addrp3": "PRIMARY_ADDRESS_LINE_3", "phonepcode": "PRIMARY_PHONE_CODE", "phonepnumber": "PRIMARY_PHONE_NUMBER" } }
-
表單編碼有效負載類型 — 使用 HTML 表單名稱。
例如,對於名為 AND 的使用者和密碼輸入元素的 HTML 表單
username1
password1
,使用者名稱欄位規格為username1
且密碼欄位規格為password1
。
-
-
如果您要保護 Amazon CloudFront 分發,請在「回應檢查」下,指定應用程式如何在帳戶建立嘗試的回應中表示成功或失敗。
注意
ACFP 回應檢測僅適用於保護 CloudFront 散佈的網路 ACL。
在帳號建立回應中指定您要 ACFP 檢查的單一元件。對於主體和 JSON 組件類型, AWS WAF 可以檢查組件的前 65,536 個字節(64 KB)。
提供元件類型的檢驗標準,如介面所示。您必須同時提供成功和失敗準則,才能在元件中進行檢查。
例如,假設您的應用程序在響應的狀態代碼中指出帳戶創建嘗試的狀態,並用
200 OK
於成功和/401 Unauthorized
或403 Forbidden
失敗。您可以將回應檢查元件類型設定為狀態碼,然後在成功文字方塊中輸入,200
並在失敗文字方塊中輸入401
第一行,403
在第二行輸入。ACFP 規則群組只會計算符合成功或失敗檢查準則的回應。規則群組規則會在用戶端上運作,而這些規則群組規則在計數的回應中的成功率過高,以減輕批次處理帳號建立嘗試。為了確保規則群組規則的正確行為,請務必提供完整的資訊以供成功和失敗的帳號建立嘗試。
若要查看檢查帳號建立回應的規則,請
VolumetricSessionSuccessfulResponse
在列出的規則中尋找VolumetricIPSuccessfulResponse
和AWS WAF 欺詐控制帳戶創建欺詐預防(ACFP)規則組。
-
-
為規則群組提供任何您想要的其他組態。
您可以在受管規則群組陳述式中新增範圍向下陳述式,進一步限制規則群組檢查的要求範圍。例如,您只能檢查具有特定查詢引數或 Cookie 的請求。規則群組只會檢查符合範圍陳述式中條件的要求,以及傳送至您在規則群組組態中指定的帳戶註冊和帳戶建立路徑的要求。如需有關向下範圍陳述式的資訊,請參閱。範圍向下語句
-
將您的變更儲存至網路 ACL。
在為生產流量部署 ACFP 實施之前,請在測試或測試環境中對其進行測試和調整,直到您熟悉對流量的潛在影響為止。然後在啟用規則之前,使用生產流量在計數模式下測試和調整規則。如需指引,請參閱下一節。