將可承諾量管理規則群組新增至您的 Web ACL - AWS WAFAWS Firewall Manager、和 AWS Shield Advanced

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

將可承諾量管理規則群組新增至您的 Web ACL

若要將 ATP 受管規則群組設定為辨識 Web 流量中的帳戶接管活動,您需要提供用戶端如何傳送登入要求至您的應用程式的相關資訊。對於受保護的 Amazon CloudFront 分發,您還提供有關應用程式如何回應登入請求的資訊。此組態是受管理規則群組的一般組態以外的配置。

如需規則群組說明與規則清單,請參閱AWS WAF 詐騙控制帳戶接管預防 (ATP) 規則群組

注意

ATP 失竊的認證資料庫僅包含電子郵件格式的使用者名稱。

本指引適用於一般知道如何建立和管理 AWS WAF Web ACL、規則和規則群組的使用者。這些主題涵蓋在本指南之前的章節中。如需如何將受管規則群組新增至 Web ACL 的基本資訊,請參閱透過主控台將受管規則群組新增至 Web ACL

遵循最佳做法

請根據的最佳作法來使用可承諾量規則群組智慧型威脅緩解的最佳做法

若要在 Web ACL 中使用AWSManagedRulesATPRuleSet規則群組

  1. 將受 AWS 管規則群組新增AWSManagedRulesATPRuleSet至 Web ACL,然後在儲存前編輯規則群組設定。

    注意

    使用此受管規則群組時,會向您收取額外費用。如需詳細資訊,請參閱 AWS WAF 定價

  2. 在「規則群組組態」窗格中,提供可承諾量規則群組用來檢查登入要求的資訊。

    1. 對於在路徑中使用規則運算式,如果您要針對登入頁面路徑規格執行規則運算式比對,請 AWS WAF 將此選項切換為開啟。

      AWS WAF 支援 PCRE 程式庫所使用的模式語法,但libpcre有一些例外。該庫在 PCRE-Perl 兼容的正則表達式中記錄。如需有關 AWS WAF 支援的資訊,請參閱正則表達式模式匹配 AWS WAF

    2. 針對登入路徑,請提供應用程式登入端點的路徑。規則群組只會檢查對您指定之登入端點的 HTTP POST 要求。

      注意

      端點的比對不區分大小寫。正則表達式規範不能包含標誌(?-i),這會禁用不區分大小寫的匹配。字串規格必須以正斜線開頭/

      例如,對於 URLhttps://example.com/web/login,您可以提供字串路徑規格/web/login。以您提供的路徑開頭的登入路徑會被視為相符項目。例如,/web/login符合登入路徑/web/login/web/login//web/loginPage、、和/web/login/thisPage,但不符合登入路徑/home/web/login/website/login

    3. 針對要求檢查,請指定應用程式接受登入嘗試的方式,方法是提供要求承載類型,以及要求主體中提供使用者名稱和密碼的欄位名稱。欄位名稱的指定取決於有效負載類型。

      • JSON 裝載類型 — 以 JSON 指標語法指定欄位名稱。如需 JSON 指標語法的相關資訊,請參閱網際網路工程工作小組 (IETF) 文JavaScript件物件標記法 (JSON) 指標

        例如,對於下列範例 JSON 承載,使用者名稱欄位規格為/login/username,密碼欄位規格為/login/password

        {
    "login": {
        "username": "THE_USERNAME",
        "password": "THE_PASSWORD"
    }
}

      • 表單編碼有效負載類型 — 使用 HTML 表單名稱。

        例如,對於具有名為username1和輸入元素的 HTML 表單password1,使用者名稱欄位規格為username1且密碼欄位規格為password1

    4. 如果您要保護 Amazon CloudFront 分發,請在「回應檢查」下,指定應用程式如何在回應登入嘗試時表示成功或失敗。

      注意

      可承諾量回應檢查僅適用於保護 CloudFront 分配的 Web ACL。

      在登入回應中指定您要可承諾量檢查的單一元件。對於主JSON 元件類型, AWS WAF 可以檢查元件的前 65,536 個位元組 (64 KB)。

      提供元件類型的檢驗標準,如介面所示。您必須同時提供成功和失敗準則,才能在元件中進行檢查。

      例如,假設您的應用程序在響應的狀態代碼中指示登錄嘗試的狀態,並用200 OK於成功和/401 Unauthorized403 Forbidden失敗。您可以將回應檢查元件類型設定為狀態碼,然後在成功文字方塊中輸入,200並在失敗文字方塊中輸入401第一行,403在第二行輸入。

      可承諾量規則群組只會計算符合成功或失敗檢驗條件的回應。規則群組規則會對用戶端採取行動,而這些規則群組規則在計數的回應中失敗率過高。為了確保規則群組規則的正確行為,請務必提供成功和失敗登入嘗試的完整資訊。

      若要查看檢查登入回應的規則,請VolumetricSessionFailedLoginResponseHigh在列出的規則中尋找VolumetricIpFailedLoginResponseHighAWS WAF 詐騙控制帳戶接管預防 (ATP) 規則群組

  3. 為規則群組提供任何您想要的其他組態。

    您可以在受管規則群組陳述式中新增範圍向下陳述式,進一步限制規則群組檢查的要求範圍。例如,您只能檢查具有特定查詢引數或 Cookie 的請求。規則群組只會檢查傳送至您指定登入端點的 HTTP POST 要求,而這些要求符合範圍向下陳述式中的準則。如需有關向下範圍陳述式的資訊,請參閱。範圍向下語句

  4. 將您的變更儲存至網路 ACL。

在針對生產流量部署 ATP 實施之前,請先在測試或測試環境中對其進行測試和調整,直到您熟悉對流量的潛在影響為止。然後在啟用規則之前,使用生產流量在計數模式下測試和調整規則。如需指引,請參閱下一節。