中智能缓解威胁的最佳实践 Amazon WAF - Amazon WAF、 Amazon Firewall ManagerAmazon Shield Advanced、和 Amazon Shield 网络安全总监
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

引入全新的主机体验 Amazon WAF

现在,您可以使用更新的体验访问控制台中任意位置的 Amazon WAF 功能。有关更多详细信息,请参阅 使用更新的主机体验

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

中智能缓解威胁的最佳实践 Amazon WAF

请遵循本节中的最佳实践,以最有效、最具成本效益的方式实施智能威胁缓解功能。

  • 实施 JavaScript 和移动应用程序集成 SDKs — 实施应用程序集成,以尽可能有效的方式启用全套 ACFP、ATP 或 Bot Control 功能。托管规则组使用提供的令牌在会话级别 SDKs 将合法的客户端流量与不需要的流量区分开来。应用程序集成可 SDKs 确保这些令牌始终可用。有关详细信息,请参阅:

    使用集成在您的客户端中实现挑战,并自定义向最终用户展示验证码谜题的方式。 JavaScript有关更多信息,请参阅 中的客户端应用程序集成 Amazon WAF

    如果您使用 JavaScript API 自定义验证码谜题,并且在保护包或 Web ACL 中的任何位置使用CAPTCHA规则操作,请按照客户端中处理 Amazon WAF 验证码响应的指南进行操作,网址为。处理来自的验证码响应 Amazon WAF本指南适用于使用该 CAPTCHA 操作的任何规则,包括 ACFP 托管规则组中的规则和机器人控制功能托管规则组的目标保护级别。

  • 限制您发送到 ACFP、ATP 和 Bot Control 规则组的请求 — 使用智能威胁缓解 Amazon 托管规则组会产生额外费用。ACFP 规则组检查向您指定的账户注册和创建端点发出的请求。ATP 规则组检查发往您指定的登录端点的请求。Bot Control 规则组会检查保护包或 Web ACL 评估中到达它的每个请求。

    请考虑以下方法来减少对这些规则组的使用:

    • 使用托管规则组语句中的范围缩小语句将请求排除在检查范围之外。您可以用任何可嵌套的语句来做到这一点。有关信息,请参阅在中使用范围缩小语句 Amazon WAF

    • 通过在规则组之前添加规则,将请求排除在检查范围之外。对于不能在范围缩小语句中使用的规则以及更复杂的情况(例如标签后进行标签匹配),您可能需要添加在规则组之前运行的规则。有关更多信息,请参阅 在中使用范围缩小语句 Amazon WAF在中使用规则语句 Amazon WAF

    • 按照成本较低的规则运行规则组。如果您有其他标准 Amazon WAF 规则出于任何原因阻止请求,请在这些付费规则组之前运行它们。有关规则和规则管理的更多信息,请参阅 在中使用规则语句 Amazon WAF

    • 如果您使用多个智能威胁缓解托管规则组,请按以下顺序运行这些规则组以降低成本:机器人控制功能、ATP、ACFP。

    有关详细定价信息,请参阅 Amazon WAF 定价

  • 不要限制发送到 Anti-DDo S 规则组的请求 — 当您将该规则组配置为监控所有未明确允许通过的 Web 流量时,该规则组的运行效果最佳。将其放置在您的 Web ACL 中,使其仅在具有规则操作的Allow规则之后和所有其他规则之前进行评估。

  • 要进行分布式拒绝服务 (DDoS) 防护,请使用 Anti-DDo S 或 Shield Advanced 自动应用层 DDo S 缓解 — 其他智能威胁缓解规则组不提供 DDo S 保护。ACFP 可防止有人尝试在您的应用程序的注册页面上创建欺诈账户。ATP 可防止有人企图盗用您的登录页面。机器人控制功能侧重于使用令牌强制执行类似人类的访问模式,并对客户端会话进行动态速率限制。

    Anti-DDo S 允许您监视和控制 DDo S 攻击,从而实现快速响应和缓解威胁。具有自动应用层 DDo S 缓解功能的 Shield Advanced 通过代表您创建、评估和部署自定义 Amazon WAF 缓解措施,自动响应检测到的 DDo S 攻击。

    有关 Shield Advanced 的更多信息,请参阅 Amazon Shield Advanced 概述使用和保护应用层(第 7 层) Amazon Shield AdvancedAmazon WAF

    有关分布式拒绝服务防护的更多信息,请参阅反 DDo S 规则组分布式拒绝服务防护 DDo。DDo

  • 在正常网络流量期间启用 Anti-DDo S 规则组和 Bot Control 规则组的目标保护级别 — 这些规则类别需要时间来建立正常流量的基准。

    在正常 Web 流量期间启用机器人控制功能规则组的目标保护级别 – 某些目标保护级别的规则需要一段时间来建立正常流量模式的基准,然后才能识别和响应不规则或恶意的流量模式。例如,TGT_ML_* 规则最长需要 24 小时才能预热。

    当你没有遇到攻击时,可以添加这些保护措施,让他们有时间确定基准,然后再期望他们做出适当的响应。如果您在攻击期间添加这些规则,则需要在计数模式下启用 Anti-DDo S 规则组。攻击消退后,由于攻击流量会增加偏差,因此建立基线的时间通常是正常所需时间的两倍到三倍。有关规则及其所需的任何预热时间的更多信息,请参阅 规则列表

  • 要进行分布式拒绝服务 (DDoS) 防护,请使用 Shield Advanced 自动应用层 DDo S 缓解 — 智能威胁缓解规则组不提供 DDo S 保护。ACFP 可防止有人尝试在您的应用程序的注册页面上创建欺诈账户。ATP 可防止有人企图盗用您的登录页面。机器人控制功能侧重于使用令牌强制执行类似人类的访问模式,并对客户端会话进行动态速率限制。

    当你在启用自动应用层 DDo S 缓解的情况下使用 Shield Advanced 时,Shield Advanced 会通过代表你创建、评估和部署自定义 Amazon WAF 缓解措施来自动响应检测到的 DDo S 攻击。有关 Shield Advanced 的更多信息,请参阅 Amazon Shield Advanced 概述使用和保护应用层(第 7 层) Amazon Shield AdvancedAmazon WAF

  • 在为 Anti-DDo S 规则组建立基准时使用生产流量负载 — 通常的做法是使用人工测试流量来测试其他规则组。但是,在测试和建立 Anti-DDo S 规则组的基准时,我们建议您使用反映生产环境负载的流量。在生产环境中启用规则组后,使用典型流量建立 Anti-DDo S 基准是确保您的资源得到保护的最佳方法。

  • 调整和配置令牌处理-调整保护包或 Web ACL 的令牌处理以获得最佳用户体验。

  • 拒绝具有任意主机规格的请求 – 将您的受保护资源配置为要求 Web 请求中的 Host 标头与目标资源匹配。您可以接受一个值或一组特定的值,例如 myExampleHost.comwww.myExampleHost.com,但不接受主机的任意值。

  • 对于作为 CloudFront 分配来源的应用程序负载均衡器,请配置 CloudFront 并 Amazon WAF 进行适当的令牌处理 — 如果您将保护包或 Web ACL 关联到应用程序负载均衡器,并将应用程序负载均衡器部署为 CloudFront 分配的来源,请参阅作为来源的应用程序负载均衡器的必需配置 CloudFront

  • 部署前进行测试和调整 — 在对保护包或 Web ACL 进行任何更改之前,请按照本指南中的测试和调整程序进行操作,以确保获得预期的行为。这对于这些付费功能特别重要。有关一般指导,请参阅 测试和调整您的 Amazon WAF 保护措施。有关付费托管规则组的特定信息,请参阅 测试和部署 ACFP测试和部署 ATP测试和部署 Amazon WAF 机器人控制