Amazon WAF 机器人控制组件 - Amazon WAFAmazon Firewall Manager、和 Amazon Shield Advanced
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Amazon WAF 机器人控制组件

机器人控制功能实施的主要组件如下:

  • AWSManagedRulesBotControlRuleSet – 机器人控制功能托管规则组,其规则可检测和处理各种类别的机器人。此规则组为其检测为机器人流量的 Web 请求添加标签。

    注意

    使用此托管规则组时,您需要额外付费。有关更多信息,请参阅Amazon WAF 定价

    机器人控制功能托管规则组提供两种保护级别供您选择:

    • 常见 – 检测各种自我识别的机器人,例如 Web 抓取框架、搜索引擎和自动浏览器。此级别的机器人控制功能保护使用传统的机器人检测技术(例如静态请求数据分析)来识别常见的机器人。这些规则会标记来自这些机器人的流量,并阻止他们无法验证的流量。

    • 定向 – 包括通用级保护,并针对无法自我识别的复杂机器人添加定向检测。目标保护结合了速率限制和验证码以及后台浏览器质询,缓解了机器人活动。

      • TGT_ – 提供目标保护的规则的名称以 TGT_ 开头。所有目标保护都使用浏览器查询、指纹识别和行为启发式等检测技术来识别恶意机器人流量。

      • TGT_ML_ – 使用机器学习的目标保护规则的名称以 TGT_ML_ 开头。这些规则使用对网站流量统计数据的自动机器学习分析来检测表明分布式、协调的机器人活动的异常行为。 Amazon WAF 分析有关您的网站流量的统计信息,例如时间戳、浏览器特征和之前访问的 URL,以改进 Bot Control 机器学习模型。默认情况下,机器学习功能处于启用状态,但您可以在规则组配置中将其禁用。禁用机器学习时, Amazon WAF 不评估这些规则。

    有关详细信息(包括有关规则组规则的信息),请参阅 Amazon WAF 机器人控制规则组

    您可以使用托管规则组参考语句将此规则组包含在 Web ACL 中,并指明要使用的检查级别。对于目标关卡,您还需要指示是否启用机器学习。有关在 Web ACL 中使用托管规则组的更多信息,请参阅 将 Amazon WAF Bot Control 托管规则组添加到 Web ACL

  • 机器人控制功能面板 – Web ACL 的机器人监控控制面板,可通过 Web ACL 机器人控制功能选项卡访问。使用此控制面板监控您的流量,并了解其中有多少来自各种类型的机器人。如本主题所述,这可以作为自定义机器人管理的起点。您还可以使用它来验证您的更改并监控各种机器人和机器人类别的活动。

  • JavaScript 和移动应用程序集成 SDK — 如果您使用 Bot Control 规则组的目标保护级别,则应实现 Amazon WAF JavaScript 和移动 SDK。目标规则使用客户端令牌中的软件开发工具包提供的信息来增强对恶意机器人的检测。有关 SDK 的更多信息,请参阅 Amazon WAF 客户端应用程序集成

  • 日志和指标 — 通过研究 Amazon WAF 日志、Amazon Security Lake 和 Amazon 为你的网页 ACL 收集的数据,您可以监控您的机器人流量,并了解机器人控制托管规则组如何评估和处理您的流量。 CloudWatchBot Control 为你的网络请求添加的标签包含在数据中。有关这些选项的信息,请参阅记录 Amazon WAF Web ACL 流量使用 Amazon 进行监控 CloudWatch、和什么是 Amazon Security Lake?

    根据您的需求和看到的流量,您可能需要自定义机器人控制功能实施。以下是一些最常用的选项。

  • 范围缩小语句 – 通过在机器人控制功能托管规则组参考语句中添加范围缩小语句,可以从机器人控制功能托管规则组评估的 Web 请求中排除一些流量。范围缩小语句可以是任何可嵌套的规则语句。当请求与 scope-down 语句不匹配时, Amazon WAF 会将其评估为与规则组参考语句不匹配,而不根据规则组对其进行评估。有范围缩小语句的更多信息,请参阅 范围缩小语句

    机器人控制功能托管规则组的定价会随着 Amazon WAF 使用该规则组评估的 Web 请求数量而增加。您可以使用范围缩小语句来限制规则组评估的请求,从而帮助降低这些成本。例如,您可能希望允许所有人(包括机器人)加载您的主页,然后将规则组规则应用于发送到您的应用程序 API 或包含特定类型内容的请求。

  • 标签和标签匹配规则-您可以使用 Amazon WAF 标签匹配规则语句自定义 Bot Control 规则组如何处理其识别的某些机器人流量。机器人控制功能规则组会为您的 Web 请求添加标签。您可以在机器人控制功能规则组之后添加与机器人控制功能标签匹配的标签匹配规则,然后应用所需的处理。有关标记和使用标签匹配语句的更多信息,请参见 标签匹配规则语句Amazon WAF 网络请求上的标签

  • 自定义请求和响应 — 您可以向允许的请求添加自定义标头,也可以通过将标签与自定义请求和响应功能匹配来为您屏蔽的请求发送 Amazon WAF 自定义响应。有关请求和响应格式的更多信息,请参阅 Amazon WAF中的自定义 Web 请求和响应