配置和测试Amazon WAF自动程序控制 - Amazon WAF、Amazon Firewall Manager 和 Amazon Shield Advanced
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

配置和测试Amazon WAF自动程序控制

本节提供有关配置和测试Amazon WAF您的站点的机器人控制实施。您选择遵循的具体步骤将取决于您的需求、资源和您收到的 Web 请求。

注意

Amazon托管规则旨在保护您免受常见的 Web 威胁的攻击。在根据文档使用时,Amazon托管规则组为您的应用程序添加了另一层安全性。然而,Amazon托管规则组并非用于取代您的安全责任,安全责任由Amazon您选择的资源。请参阅责任共担模式,以确保妥善保护 Amazon 中的资源。

生产流量风险

在为生产流量部署 Bot Control 实施之前,请在临时或测试环境中对其进行测试和调整,直到您对流量的潜在影响感到满意。然后,在启用生产流量之前,在计数模式下测试和调整规则。

本指南适用于通常知道如何创建和管理Amazon WAFWeb ACL、规则和规则组。本指南前面的章节将介绍这些主题。

配置和测试机器人控制实现

首先在测试环境中执行这些步骤,然后在生产环境中执行。

  1. 添加机器人控制托管规则组

    添加托管Amazon规则组 Amazon 管理规则控制规则设置为新的或现有的 Web ACL 并对其进行配置,使其不会改变当前 Web ACL 行为。

    • 添加托管规则组时,请对其进行编辑,然后在Rule窗格中,打开将所有规则操作设置为计数切换。有了这种配置,Amazon WAF根据规则组中的所有规则评估请求,并仅计算结果的匹配项,同时仍将标签添加到请求中。有关更多信息,请参阅将规则操作设置为在规则组中计数

      这允许您监控机器人控制规则的影响,以确定是否要添加例外,例如内部使用案例或所需机器人的例外。

    • 定位规则组,使其在 Web ACL 中最后评估,优先级设置的数字高于您已经使用的任何其他规则或规则组。有关更多信息,请参阅创建 Web ACL

      这样,您当前对流量的处理不会中断。例如,如果您有检测恶意流量(如 SQL 注入或跨站点脚本)的规则,则它们将继续检测和记录恶意流量。或者,如果您有允许已知非恶意通信的规则,则这些规则可以继续允许该流量,而不会被 Bot Control 托管规则组阻止。您可能会决定在测试和调整活动期间调整处理顺序。

  2. 启用 Web ACL 的采样、日志记录和指标

    根据需要,配置 Web ACL 的日志记录,并启用采样和 Amazon CloudWatch 指标。这允许您监视 Bot Control 托管规则组与您的流量之间的交互。

  3. 将 Web ACL 与某个资源相关联

    如果 Web ACL 尚未与资源关联,请将其关联。有关信息,请参阅 将 Web ACL 与关联或取消关联Amazon资源

  4. 监控流量和机器人控制规则匹配

    请确保流量正在流动,并且 Bot Control 托管规则组规则正在向匹配的 Web 请求添加标签。您可以在日志中查看标签,并在 Amazon CloudWatch 指标中查看自动程序和标签指标。在日志中,您设置为在规则组中计数的规则显示在excludedRules中的ruleGroupList.

    注意

    机器人控制托管规则组使用Amazon WAF. 如果您使用 Bot Control 并且您已验证了通过代理或负载均衡器路由的机器人程序,则可能需要使用自定义规则明确允许它们。有关如何创建自定义规则的信息,请参阅。转发的 IP 地址. 有关如何使用规则自定义 Bot Control Web 请求处理的信息,请参阅下一步。

  5. 自定义机器人控制 Web 请求处理

    根据需要,添加您自己的明确允许或阻止请求的规则,以更改 Bot Control 规则处理这些请求的方式。

    操作方法您这样做取决于您的使用案例,但以下是常见的解决方案:

    有关更多示例,请参阅 Amazon WAF自动程序控制示例

  6. 根据需要启用机器人控制托管规则组设置

    根据您的具体情况,您可能已决定将某些机器人控制规则保留在计数模式下。对于希望在规则组内配置时运行的规则,启用常规规则配置。若要执行此操作,请在 Web ACL 规则组配置中禁用计数模式的规则。

  7. 监控器和调整规则

    若要确保 Web 请求正在根据需要处理,请在启用要使用的 “机器人控制” 功能后,密切监视您的流量。根据需要使用规则组上的规则计数覆盖以及使用您自己的规则调整行为。