組態及測試AWS WAF自動程式控制 - AWS WAF、AWS Firewall Manager 與 AWS Shield Advanced

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

組態及測試AWS WAF自動程式控制

本節提供設定和測試AWS WAF為您的站點實作 Bot Control。您選擇遵循的特定步驟取決於您的需求、資源和您收到的 Web 要求。

注意

AWS受管規則的設計旨在保護您免於常見的網路安全威脅。根據文件使用時,AWS受管的規則群組會為您的應用程式增加另一層安全性。然而,AWS受管規則規則群組不會用來取代您的安全性責任,這是由AWS資源。請參閱共同的責任模型,以確保 AWS 中您的資源受到適當的保護。

生產流量風險

為生產流量部署 Bot Control 實作之前,請先在分段或測試環境中測試並調整,直到您熟悉流量的潛在影響為止。然後在計數模式中測試並調整規則,然後再啟用規則。

本指南適用於一般知道如何建立及管理AWS WAFWeb ACL、規則和規則群組。這些主題會涵蓋在本指南之前的章節中。

若要設定和測試機器人控制實作

先在測試環境中執行這些步驟,然後在生產環境中執行。

  1. 新增機器人控制受管理的規則群組

    新增受管理AWS規則群組 AWS 管理下方控制規則集至新的或現有的 Web ACL,並進行設定,使其不會改變目前的 Web ACL 行為。

    • 新增受管理規則群組時,請編輯該群組,然後在規則窗格中,開啟將所有規則動作設定為計數切換切換。使用此組態,AWS WAF會根據規則群組中的所有規則評估要求,並僅計算結果的相符項目,同時仍將標籤新增至要求。如需更多詳細資訊,請參閱 在規則群組中設定要計數的規則動作

      這可讓您監視 Bot Control 規則的影響,以判斷是否要新增例外狀況,例如內部使用案例的例外狀況或所需的 Bot。

    • 將規則群組放置在 Web ACL 中的最後評估,其優先順序設定高於您已經使用的任何其他規則或規則群組。如需更多詳細資訊,請參閱 建立 Web ACL

      如此一來,您目前對流量的處理不會受到干擾。例如,如果您有偵測惡意流量 (例如 SQL 插入或跨網站指令碼) 的規則,它們會繼續偵測並記錄該流量。或者,如果您有規則允許已知非惡意流量,則它們可以繼續允許該流量,而不會讓 Bot Control 管理的規則群組封鎖該流量。您可能會決定在測試和調整活動期間調整處理順序。

  2. 啟用 Web ACL 的取樣、記錄和度量

    視需要設定 Web ACL 的記錄,並啟用取樣和 Amazon CloudWatch 指標。這可讓您監視 Bot Control 管理規則群組與流量的互動。

  3. 將 Web ACL 與資源建立關聯

    如果 Web ACL 尚未與資源相關聯,請將其關聯。如需相關資訊,請參閱「將 Web ACL 與建立關聯或取消關聯AWS資源」。

  4. 監控流量和機器人控制規則的比對

    請確定流量流動,而且 Bot Control 受管理規則群組規則正在將標籤新增至相符的 Web 要求。您可以在日誌中看到標籤,並在 Amazon CloudWatch 指標中查看機器人和標籤指標。在記錄檔中,您在規則群組中設定要計數的規則會顯示在excludedRules中的ruleGroupList

    注意

    機器人控制管理的規則群組會使用來自AWS WAF。如果您使用 Bot Control,且已驗證透過 Proxy 或負載平衡器路由的機器人,您可能需要明確允許它們使用自訂規則。如需如何建立自訂規則的相關資訊,請參閱轉寄 IP 地址。如需如何使用規則自訂 Bot Control Web 要求處理的相關資訊,請參閱下一個步驟。

  5. 自訂機器人控制 Web 要求處理

    視需要新增您自己的規則,以明確允許或封鎖要求,以變更 Bot Control 規則處理這些要求的方式。

    操作說明你這樣做取決於你的用例,但以下是常見的解決方案:

    如需更多範例,請參閱 AWS WAF機器人控制範例

  6. 視需要啟用 Bot Control 受管理規則群組設定

    根據您的情況,您可能已決定要將某些 Bot Control 規則保留在計數模式中。針對您要在規則群組內設定時執行的規則,啟用一般規則設定。若要這樣做,請停用規則的 Web ACL 規則群組設定中的計數模式。

  7. 監控和調校

    若要確保網頁要求正在處理,請在啟用您想要使用的 Bot Control 功能之後,密切監控您的流量。根據需要使用規則群組上的規則計數覆寫和您自己的規則來調整行為。