Menambahkan grup aturan terkelola ACFP ke ACL web Anda - AWS WAF, AWS Firewall Manager, dan AWS Shield Advanced

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Menambahkan grup aturan terkelola ACFP ke ACL web Anda

Untuk mengonfigurasi grup aturan terkelola ACFP untuk mengenali aktivitas penipuan pembuatan akun di lalu lintas web Anda, Anda memberikan informasi tentang cara klien mengakses halaman pendaftaran Anda dan mengirim permintaan pembuatan akun ke aplikasi Anda. Untuk CloudFront distribusi Amazon yang dilindungi, Anda juga memberikan informasi tentang bagaimana aplikasi Anda merespons permintaan pembuatan akun. Konfigurasi ini merupakan tambahan dari konfigurasi normal untuk grup aturan terkelola.

Untuk deskripsi grup aturan dan daftar aturan, lihatAWS WAF Grup aturan pencegahan penipuan (ACFP) pembuatan akun Kontrol Penipuan.

catatan

Basis data kredensyal curian ACFP hanya berisi nama pengguna dalam format email.

Panduan ini ditujukan untuk pengguna yang tahu secara umum cara membuat dan mengelola ACL AWS WAF web, aturan, dan grup aturan. Topik-topik tersebut dibahas di bagian sebelumnya dari panduan ini. Untuk informasi dasar tentang cara menambahkan grup aturan terkelola ke ACL web Anda, lihatMenambahkan grup aturan terkelola ke ACL web melalui konsol.

Ikuti praktik terbaik

Gunakan grup aturan ACFP sesuai dengan praktik terbaik di. Praktik terbaik untuk mitigasi ancaman cerdas

Untuk menggunakan grup AWSManagedRulesACFPRuleSet aturan di ACL web Anda

  1. Tambahkan grup aturan AWS terkelola, AWSManagedRulesACFPRuleSet ke ACL web Anda, dan Edit pengaturan grup aturan sebelum menyimpan.

    catatan

    Anda akan dikenakan biaya tambahan saat menggunakan grup aturan terkelola ini. Untuk informasi selengkapnya, silakan lihat Harga AWS WAF.

  2. Di panel konfigurasi grup Aturan, berikan informasi yang digunakan grup aturan ACFP untuk memeriksa permintaan pembuatan akun.

    1. Untuk Gunakan ekspresi reguler di jalur, aktifkan ini jika Anda ingin AWS WAF melakukan pencocokan ekspresi reguler untuk spesifikasi jalur halaman pendaftaran dan pembuatan akun Anda.

      AWS WAF mendukung sintaks pola yang digunakan oleh pustaka PCRE libpcre dengan beberapa pengecualian. Pustaka didokumentasikan di PCRE - Perl Compatible Regular Expressions. Untuk informasi tentang AWS WAF dukungan, lihatPencocokan pola ekspresi reguler di AWS WAF.

    2. Untuk jalur halaman Pendaftaran, berikan jalur titik akhir halaman pendaftaran untuk aplikasi Anda. Halaman ini harus menerima permintaan GET teks/html. Grup aturan hanya memeriksa permintaan GET teks/html HTTP ke titik akhir halaman pendaftaran yang Anda tentukan.

      catatan

      Pencocokan untuk titik akhir tidak peka huruf besar/kecil. Spesifikasi Regex tidak boleh berisi bendera, yang menonaktifkan pencocokan yang tidak (?-i) peka huruf besar/kecil. Spesifikasi string harus dimulai dengan garis miring / ke depan.

      Misalnya, untuk URLhttps://example.com/web/registration, Anda dapat memberikan spesifikasi jalur string/web/registration. Jalur halaman pendaftaran yang dimulai dengan jalur yang Anda berikan dianggap cocok. Misalnya /web/registration cocok dengan jalur pendaftaran/web/registration,/web/registration/,/web/registrationPage, dan/web/registration/thisPage, tetapi tidak cocok dengan jalur /home/web/registration atau/website/registration.

      catatan

      Pastikan bahwa pengguna akhir Anda memuat halaman pendaftaran sebelum mereka mengirimkan permintaan pembuatan akun. Ini membantu memastikan bahwa permintaan pembuatan akun dari klien menyertakan token yang valid.

    3. Untuk jalur pembuatan Akun, berikan URI di situs web Anda yang menerima detail pengguna baru yang telah selesai. URI ini harus menerima POST permintaan.

      catatan

      Pencocokan untuk titik akhir tidak peka huruf besar/kecil. Spesifikasi Regex tidak boleh berisi bendera, yang menonaktifkan pencocokan yang tidak (?-i) peka huruf besar/kecil. Spesifikasi string harus dimulai dengan garis miring / ke depan.

      Misalnya, untuk URLhttps://example.com/web/newaccount, Anda dapat memberikan spesifikasi jalur string/web/newaccount. Jalur pembuatan akun yang dimulai dengan jalur yang Anda berikan dianggap cocok. Misalnya /web/newaccount cocok dengan jalur pembuatan akun/web/newaccount,/web/newaccount/,/web/newaccountPage, dan/web/newaccount/thisPage, tetapi tidak cocok dengan jalur /home/web/newaccount atau/website/newaccount.

    4. Untuk pemeriksaan Permintaan, tentukan bagaimana aplikasi Anda menerima upaya pembuatan akun dengan memberikan jenis payload permintaan dan nama bidang dalam badan permintaan tempat nama pengguna, kata sandi, dan detail pembuatan akun lainnya disediakan.

      catatan

      Untuk bidang alamat utama dan nomor telepon, berikan bidang sesuai urutan tampilannya di payload permintaan.

      Spesifikasi nama bidang Anda tergantung pada jenis payload.

      • Jenis payload JSON - Tentukan nama bidang dalam sintaks penunjuk JSON. Untuk informasi tentang sintaks JSON Pointer, lihat dokumentasi Internet Engineering Task Force (IETF) JavaScriptObject Notation (JSON) Pointer.

        Misalnya, untuk contoh payload JSON berikut, spesifikasi bidang nama pengguna adalah /signupform/username dan spesifikasi bidang alamat utama adalah/signupform/addrp1,/signupform/addrp2, dan. /signupform/addrp3

        {
    "signupform": {
        "username": "THE_USERNAME",
        "password": "THE_PASSWORD",
        "addrp1": "PRIMARY_ADDRESS_LINE_1",
        "addrp2": "PRIMARY_ADDRESS_LINE_2",
        "addrp3": "PRIMARY_ADDRESS_LINE_3",
        "phonepcode": "PRIMARY_PHONE_CODE",
        "phonepnumber": "PRIMARY_PHONE_NUMBER"
    }
}

      • Jenis payload FORM_ENCODED - Gunakan nama formulir HTML.

        Misalnya, untuk formulir HTML dengan elemen input pengguna dan kata sandi bernama username1 danpassword1, spesifikasi bidang nama pengguna adalah username1 dan spesifikasi bidang kata sandi adalahpassword1.

    5. Jika Anda melindungi CloudFront distribusi Amazon, maka di bawah pemeriksaan Response, tentukan bagaimana aplikasi Anda menunjukkan keberhasilan atau kegagalan dalam tanggapannya terhadap upaya pembuatan akun.

      catatan

      Pemeriksaan respons ACFP hanya tersedia di ACL web yang melindungi distribusi. CloudFront

      Tentukan satu komponen dalam respons pembuatan akun yang ingin diperiksa oleh ACFP. Untuk tipe komponen Body dan JSON, AWS WAF dapat memeriksa 65.536 byte pertama (64 KB) komponen.

      Berikan kriteria inspeksi Anda untuk jenis komponen, seperti yang ditunjukkan oleh antarmuka. Anda harus memberikan kriteria keberhasilan dan kegagalan untuk diperiksa dalam komponen.

      Misalnya, aplikasi Anda menunjukkan status upaya pembuatan akun dalam kode status respons, dan digunakan 200 OK untuk sukses dan 401 Unauthorized atau 403 Forbidden untuk kegagalan. Anda akan mengatur pemeriksaan respons Jenis komponen ke kode Status, lalu di kotak teks Sukses masukkan 200 dan di kotak teks Kegagalan, masukkan 401 pada baris pertama dan 403 pada baris kedua.

      Kelompok aturan ACFP hanya menghitung tanggapan yang sesuai dengan kriteria pemeriksaan keberhasilan atau kegagalan Anda. Aturan kelompok aturan bertindak pada klien sementara mereka memiliki tingkat keberhasilan yang terlalu tinggi di antara tanggapan yang dihitung, untuk mengurangi upaya pembuatan akun massal. Untuk perilaku yang akurat menurut aturan grup aturan, pastikan untuk memberikan informasi lengkap untuk upaya pembuatan akun yang berhasil dan gagal.

      Untuk melihat aturan yang memeriksa respons pembuatan akun, cari VolumetricIPSuccessfulResponse dan VolumetricSessionSuccessfulResponse di daftar aturan diAWS WAF Grup aturan pencegahan penipuan (ACFP) pembuatan akun Kontrol Penipuan.

  3. Berikan konfigurasi tambahan apa pun yang Anda inginkan untuk grup aturan.

    Anda dapat membatasi cakupan permintaan yang diperiksa oleh grup aturan dengan menambahkan pernyataan cakupan bawah ke pernyataan grup aturan terkelola. Misalnya, Anda hanya dapat memeriksa permintaan dengan argumen kueri atau cookie tertentu. Grup aturan hanya akan memeriksa permintaan yang sesuai dengan kriteria dalam pernyataan cakupan bawah Anda dan yang dikirim ke jalur pendaftaran akun dan pembuatan akun yang Anda tentukan dalam konfigurasi grup aturan. Untuk informasi tentang pernyataan cakupan bawah, lihat. Pernyataan cakupan ke bawah

  4. Simpan perubahan Anda ke ACL web.

Sebelum Anda menerapkan implementasi ACFP Anda untuk lalu lintas produksi, uji dan sesuaikan di lingkungan pementasan atau pengujian sampai Anda merasa nyaman dengan potensi dampak terhadap lalu lintas Anda. Kemudian uji dan atur aturan dalam mode hitungan dengan lalu lintas produksi Anda sebelum mengaktifkannya. Lihat bagian berikut untuk panduan.