Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Bewährte Methoden für intelligente Bedrohungsabwehr in AWS WAF
Folgen Sie den bewährten Methoden in diesem Abschnitt, um die Funktionen zur intelligenten Bedrohungsabwehr am effizientesten und kostengünstigsten zu implementieren.
-
Implementieren Sie die Integration JavaScript und Integration mobiler Anwendungen SDKs — Implementieren Sie die Anwendungsintegration ACFPATP, um den gesamten Funktionsumfang oder die Bot-Kontrollfunktionen so effektiv wie möglich zu nutzen. Die verwalteten Regelgruppen verwenden die von der bereitgestellten TokenSDKs, um legitimen Client-Verkehr von unerwünschtem Datenverkehr auf Sitzungsebene zu trennen. Die Anwendungsintegration SDKs stellt sicher, dass diese Token immer verfügbar sind. Details dazu finden Sie unter:
Verwenden Sie die Integrationen, um Herausforderungen in Ihrem Client zu implementieren und beispielsweise die JavaScript Art und Weise anzupassen, wie CAPTCHA Rätsel Ihren Endbenutzern präsentiert werden. Details hierzu finden Sie unter Verwenden von Client-Anwendungsintegrationen mit AWS WAF.
Wenn Sie CAPTCHA Puzzles mit dem anpassen JavaScript API und Sie verwenden den CAPTCHA Regeln Sie Aktionen überall in Ihrem WebACL, folgen Sie den Anweisungen für den Umgang mit AWS WAF CAPTCHAAntwort in Ihrem Kunden unterBearbeitung einer CAPTCHA Antwort von AWS WAF. Diese Anleitung gilt für alle Regeln, die das verwenden CAPTCHA Aktionen, einschließlich der Aktionen in der ACFP verwalteten Regelgruppe und der angestrebten Schutzstufe der verwalteten Regelgruppe Bot Control.
-
Beschränken Sie die Anfragen, die Sie an die Regelgruppen ACFPATP, und Bot Control senden. Für die Nutzung der intelligenten Bedrohungsabwehr fallen zusätzliche Gebühren an AWS Regelgruppen für verwaltete Regeln. Die ACFP Regelgruppe überprüft Anfragen an die von Ihnen angegebenen Endpunkte für die Kontoregistrierung und Kontoerstellung. Die ATP Regelgruppe untersucht Anfragen an den von Ihnen angegebenen Anmeldeendpunkt. Die Regelgruppe Bot Control überprüft jede Anfrage, die sie im Rahmen der ACL Web-Evaluierung erreicht.
Ziehen Sie die folgenden Ansätze in Betracht, um die Verwendung dieser Regelgruppen zu reduzieren:
-
Schließen Sie Anfragen von der Prüfung aus, wenn Sie in der Erklärung zur verwalteten Regelgruppe eine Erklärung zum Umfang angeben. Sie können dies mit jeder verschachtelten Anweisung tun. Weitere Informationen finden Sie unter Verwendung von Scope-Down-Aussagen in AWS WAF.
-
Schließen Sie Anfragen von der Prüfung aus, indem Sie Regeln vor der Regelgruppe hinzufügen. Für Regeln, die Sie nicht in einer Scope-down-Anweisung verwenden können, und für komplexere Situationen, wie z. B. die Kennzeichnung gefolgt von der Zuordnung von Bezeichnungen, möchten Sie möglicherweise Regeln hinzufügen, die vor den Regelgruppen ausgeführt werden. Weitere Informationen finden Sie unter Verwendung von Scope-Down-Aussagen in AWS WAF und Verwenden von Regelanweisungen in AWS WAF.
-
Führen Sie die Regelgruppen nach kostengünstigeren Regeln aus. Wenn Sie einen anderen Standard haben AWS WAF Regeln, die Anfragen aus beliebigen Gründen blockieren, führen Sie sie vor diesen kostenpflichtigen Regelgruppen aus. Weitere Informationen zu Regeln und Regelverwaltung finden Sie unterVerwenden von Regelanweisungen in AWS WAF.
-
Wenn Sie mehr als eine der Regelgruppen mit intelligenter Bedrohungsabwehr verwenden, führen Sie sie in der folgenden Reihenfolge aus, um die Kosten niedrig zu halten: Bot-Kontrolle,ATP,ACFP.
Detaillierte Preisinformationen finden Sie unter AWS WAF Preisgestaltung
. -
-
Aktivieren Sie die gezielte Schutzstufe der Bot Control-Regelgruppe bei normalem Webverkehr — Einige Regeln der Zielschutzstufe benötigen Zeit, um Basiswerte für normale Datenverkehrsmuster festzulegen, bevor sie unregelmäßige oder bösartige Datenverkehrsmuster erkennen und darauf reagieren können. Zum Beispiel benötigen die
TGT_ML_*Regeln bis zu 24 Stunden, um sich aufzuwärmen.Fügen Sie diese Schutzmaßnahmen hinzu, wenn Sie nicht von einem Angriff betroffen sind, und geben Sie ihnen Zeit, ihre Ausgangswerte festzulegen, bevor sie erwarten, dass sie angemessen auf Angriffe reagieren. Wenn Sie diese Regeln während eines Angriffs hinzufügen, nachdem der Angriff abgeklungen ist, dauert die Erstellung einer Basislinie normalerweise doppelt bis dreimal so lange wie normalerweise erforderlich, da der Angriffsverkehr zu Verzerrungen führt. Weitere Informationen zu den Regeln und den dafür erforderlichen Aufwärmzeiten finden Sie unter. Liste der Regeln
-
Verwenden Sie für den Schutz vor verteiltem Denial of Service (DDoS) die automatische DDoS Abwehr auf Anwendungsebene von Shield Advanced — Die Regelgruppen zur intelligenten Bedrohungsabwehr bieten keinen Schutz. DDoS ACFPschützt vor betrügerischen Versuchen, über die Anmeldeseite Ihrer Anwendung ein Konto zu erstellen. ATPschützt vor Versuchen, Ihr Konto auf Ihre Anmeldeseite zu übertragen. Bot Control konzentriert sich auf die Durchsetzung menschenähnlicher Zugriffsmuster mithilfe von Tokens und dynamischer Ratenbegrenzung bei Clientsitzungen.
Wenn Sie Shield Advanced mit aktivierter automatischer DDoS Abwehr auf Anwendungsebene verwenden, reagiert Shield Advanced automatisch auf erkannte DDoS Angriffe, indem es benutzerdefinierte Angriffe erstellt, auswertet und bereitstellt AWS WAF Abhilfemaßnahmen in Ihrem Namen. Weitere Informationen zu Shield Advanced finden Sie AWS Shield Advanced Überblick unter undAWS Shield Advanced Schutzmaßnahmen auf Anwendungsebene (Schicht 7).
-
Token-Handling abstimmen und konfigurieren — Passen Sie das ACL Token-Handling im Internet an, um eine optimale Benutzererfahrung zu erzielen.
-
Um die Betriebskosten zu senken und das Nutzererlebnis zu verbessern, sollten Sie die Immunitätszeiten Ihrer Tokenverwaltung so lange einstellen, wie es Ihre Sicherheitsanforderungen zulassen. Dadurch wird der Einsatz von CAPTCHA Rätseln und stillen Herausforderungen auf ein Minimum reduziert. Weitere Informationen finden Sie unter Einstellen der Ablaufzeiten von Zeitstempeln und Token-Immunitätszeiten in AWS WAF.
-
Um die gemeinsame Nutzung von Token zwischen geschützten Anwendungen zu ermöglichen, konfigurieren Sie eine Token-Domainliste für Ihr WebACL. Weitere Informationen finden Sie unter Angabe von Tokendomänen und Domänenlisten in AWS WAF.
-
-
Anfragen mit beliebigen Hostspezifikationen ablehnen — Konfigurieren Sie Ihre geschützten Ressourcen so, dass die
HostHeader in Webanfragen mit der Zielressource übereinstimmen müssen. Sie können einen Wert oder eine bestimmte Gruppe von Werten akzeptieren, z. B.myExampleHost.comundwww.myExampleHost.com, aber Sie können keine beliebigen Werte für den Host akzeptieren. -
Für Application Load Balancer, die den Ursprung von CloudFront Distributionen sind, konfigurieren Sie und CloudFront AWS WAF Informationen zur korrekten Token-Handhabung — Wenn Sie Ihr Web ACL mit einem Application Load Balancer verknüpfen und den Application Load Balancer als Ursprung für eine CloudFront Distribution bereitstellen, finden Sie weitere Informationen unter. Erforderliche Konfiguration für Application Load Balancers, die Origins sind CloudFront
-
Testen und Optimieren vor der Bereitstellung — Bevor Sie Änderungen an Ihrem Web vornehmenACL, sollten Sie die Test- und Optimierungsverfahren in diesem Handbuch befolgen, um sicherzustellen, dass Sie das erwartete Verhalten erhalten. Dies ist besonders wichtig für diese kostenpflichtigen Funktionen. Allgemeine Hinweise finden Sie unterTesten und Tunen Ihres AWS WAF Schutzmaßnahmen. Spezifische Informationen zu den kostenpflichtigen verwalteten Regelgruppen finden Sie unter Testen und Bereitstellen von ACFPTesten und Bereitstellen von ATP, undTesten und Bereitstellen von AWS WAF Bot Control.
