监控和调整 - Amazon WAFAmazon Firewall Manager、和 Amazon Shield Advanced
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

监控和调整

本节介绍如何监控和调整 Amazon WAF 保护措施。

注意

要遵循本节中的指导,您需要大致了解如何创建和管理 Amazon WAF 保护,例如 Web ACL、规则和规则组。本指南前面部分将介绍该信息。

监控 Web 流量和规则匹配以验证 Web ACL 的行为。如果您发现问题,请调整规则以进行更正,然后进行监控以验证调整。

重复以下步骤,直到 Web ACL 根据需要管理您的 Web 流量。

监控和调整
  1. 监控流量和规则匹配情况

    确保流量畅通,并且您的测试规则正在找到匹配的请求。

    请查看以下信息,了解您正在测试的保护:

    • 日志 – 访问与 Web 请求匹配的规则的相关信息:

      • 您的规则 – Web ACL 中具有 Count 操作的规则列在 nonTerminatingMatchingRules 下。带有 Allow 或 Block 的规则列为 terminatingRule. 根据规则匹配的结果,带有 CAPTCHA 或 Challenge 的规则可以是终止的,也可以是非终止的,因此列在两个类别之一下。

      • 规则组 – 在 ruleGroupId 字段中标识规则组,其规则匹配的分类与独立规则的分类相同。

      • 标签Labels 字段中列出了规则已应用于请求的标签。

      有关更多信息,请参阅 日志字段

    • Amazon CloudWatch 指标 — 您可以访问以下指标来评估您的 Web ACL 请求。

      • 您的规则-指标按规则操作分组。例如,当您在Count模式下测试规则时,其匹配项将列为 Web ACL 的Count指标。

      • 您的规则组-规则组的指标列在规则组指标下。

      • 其他账户拥有的规则组-规则组指标通常只有规则组所有者可见。但是,如果您覆盖规则的规则操作,则该规则的指标将列在您的 Web ACL 指标下。此外,任何规则组添加的标签都会列在您的 Web ACL 指标中

        此类别中的规则组是其他账户与您共享的Amazon 的托管规则 Amazon WAFAmazon Web Services Marketplace 托管规则组其他服务提供的规则组、、和规则组。

      • 标签-评估期间添加到 Web 请求的标签列在 Web ACL 标签指标中。您可以访问所有标签的指标,无论它们是由您的规则和规则组添加的,还是由其他账户拥有的规则组中的规则添加的。

      有关更多信息,请参阅 查看 Web ACL 的指标

    • Web ACL 流量概述仪表板 — 访问 Amazon WAF 控制台中的 Web ACL 页面并打开 “流量概述” 选项卡,即可访问 Web ACL 评估的 Web 流量的摘要。

      流量概述控制面板提供了在评估您的应用程序网络流量时 Amazon WAF 收集的 Amazon CloudWatch 指标的近乎实时的摘要。

      有关更多信息,请参阅 Web ACL 流量概述控制面板

    • 采样的 Web 请求 – 访问与 Web 请求样本相匹配的规则的信息。示例信息通过 Web ACL 中规则的指标名称来标识匹配的规则。对于规则组,该指标标识规则组参考语句。对于规则组内的规则,该示例在中列出了匹配的规则名称 RuleWithinRuleGroup

      有关更多信息,请参阅 查看 Web 请求示例

  2. 配置缓解以解决误报

    如果您确定某条规则正在生成误报,则通过在不应该出现误报的时候匹配 Web 请求,则以下选项可以帮助您调整 Web ACL 保护以缓解误报。

    更正规则检查条件

    对于您自己的规则,您通常只需要调整用于检查 Web 请求的设置即可。示例包括更改正则表达式模式集中的规范,调整在检查之前应用于请求组件的文本转换,或者切换到使用转发 IP 地址。有关导致问题的规则类型,请参阅 规则语句基础知识 下方的指南。

    更正复杂的问题

    对于您无法控制的检查条件和某些复杂的规则,您可能需要进行其他更改,例如添加明确允许或阻止请求的规则,或者通过有问题的规则将请求排除在评估范围之外的规则。托管规则组通常需要这种缓解,但其他规则也可以。示例包括基于速率的规则语句和 SQL 注入攻击规则语句。

    如何减少误报,因用例而异。以下是常规方法:

    • 添加缓解规则 – 添加一条规则,该规则在新规则之前运行,并明确允许导致误报的请求。有关 Web ACL 中规则评估顺序的信息,请参阅 Web ACL 中规则和规则组的处理顺序

      通过这种方法,允许的请求会被发送到受保护的资源,因此它们永远不会达到新的评估规则。如果新规则是付费托管规则组,则此方法还有助于控制使用该规则组的费用。

    • 添加带有缓解规则的逻辑规则 – 使用逻辑规则语句将新规则与排除误报的规则相结合。有关信息,请参阅 逻辑规则语句

      例如,假设您正在添加一个 SQL 注入攻击匹配语句,该语句会为某类请求生成误报。创建与这些请求相匹配的规则,然后使用逻辑规则语句组合这些规则,这样您就可以只匹配两个请求都不符合误报条件且确实符合 SQL 注入攻击条件的请求。

    • 添加范围缩小语句 – 对于基于速率的语句和托管规则组引用语句,通过在主语句中添加范围向下语句,将导致误报的请求排除在评估之外。

      与范围缩小语句不匹配的请求永远不会到达规则组或基于速率的评估。有关范围缩小语句的信息,请参阅 范围缩小语句。有关示例,请参阅从机器人管理中排除 IP 范围

    • 添加标签匹配规则 – 对于使用标签的规则组,请确定有问题的规则应用于请求的标签。如果您尚未在计数模式下设置规则组规则,则可能需要先将规则组规则设置为计数模式。添加一个标签匹配规则,该规则位于规则组之后运行,该规则与有问题的规则所添加的标签相匹配。在标签匹配规则中,您可以筛选要允许的请求和要阻止的请求。

      如果您使用这种方法,则在完成测试后,请在规则组中将有问题的规则保持在计数模式,并保留您的自定义标签匹配规则。有关标签匹配语句的信息,请参阅 标签匹配规则语句。有关示例,请参阅 允许特定的被阻止机器人ATP 示例:针对缺失和被盗凭证的自定义处理

    • 更改托管规则组的版本 – 对于版本控制的托管规则组,请更改您正在使用的版本。例如,您可以切换回已成功使用的最后一个静态版本。

      这通常是临时修复。在测试或暂存环境中继续测试最新版本时,或者在等待提供程序提供更兼容的版本时,您可以更改生产流量的版本。有关托管规则组版本的信息,请参阅 托管规则组

如果您对新规则可以根据您的需要匹配请求感到满意,请进入下一阶段的测试并重复此过程。在您的生产环境中执行测试和调整的最后阶段。