將ACFP受管規則群組新增至您的網站 ACL - AWS WAFAWS Firewall Manager、 和 AWS Shield Advanced

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

將ACFP受管規則群組新增至您的網站 ACL

本節說明如何新增和設定AWSManagedRulesACFPRuleSet規則群組。

若要將ACFP受管規則群組設定為辨識網路流量中的帳戶建立詐騙活動,您需要提供有關用戶端如何存取註冊頁面的資訊,並將帳戶建立要求傳送至您的應用程式。對於受保護的 Amazon CloudFront 分發,您還提供應用程式如何回應帳戶建立請求的相關資訊。此組態是受管理規則群組的一般組態以外的配置。

如需規則群組說明與規則清單,請參閱AWS WAF 欺詐控制帳戶創建欺詐預防(ACFP)規則組

注意

ACFP遭竊的認證資料庫僅包含電子郵件格式的使用者名稱。

本指引適用於一般知道如何建立和管理的使用者 AWS WAF 網頁ACLs、規則和規則群組。這些主題涵蓋在本指南之前的章節中。如需如何將受管規則群組新增至 Web 的基本資訊ACL,請參閱透過主控台將受管規則群組新增ACL至 Web

遵循最佳做法

請依照上的最佳作法使用ACFP規則群組智慧型威脅緩解的最佳做法 AWS WAF

若要在您的網站中使用AWSManagedRulesACFPRuleSet規則群組 ACL

  1. 添加 AWS 託管規則組,AWSManagedRulesACFPRuleSet到您的網站ACL,並在保存之前編輯規則組設置。

    注意

    使用此受管規則群組時,會向您收取額外費用。如需詳細資訊,請參閱 AWS WAF 定價

  2. 規則群組設定窗格中,提供ACFP規則群組用來檢查帳戶建立要求的資訊。

    1. 對於在路徑中使用正則表達式,如果需要,請打開此選項 AWS WAF 為您的註冊和帳戶創建頁面路徑規範執行正則表達式匹配。

      AWS WAF 支持PCRE庫使用的模式語法,但libpcre有一些例外。該庫記錄在 PCRE-Perl 兼容的正則表達式。如需相關資訊 AWS WAF 支援,請參閱支援的規則運算式語法 AWS WAF

    2. 對於「註冊」頁面路徑,請提供應用程式之註冊頁面端點的路徑。此頁面必須接受GET文字/html 要求。規則群組只會檢查指定註冊頁面端點的HTTPGET文字 /html 要求。

      注意

      端點的比對不區分大小寫。正則表達式規範不能包含標誌(?-i),這會禁用不區分大小寫的匹配。字串規格必須以正斜線開頭/

      例如,對於 URLhttps://example.com/web/registration,您可以提供字串路徑規格/web/registration。以您提供的路徑開頭的註冊頁面路徑會被視為相符項目。例如,/web/registration符合註冊路徑/web/registration/web/registration//web/registrationPage/web/registration/thisPage、和,但不符合路徑/home/web/registration/website/registration

      注意

      請確定您的使用者在提交帳戶建立要求之前載入註冊頁面。這有助於確保來自客戶端的帳戶創建請求包含有效令牌。

    3. 對於帳戶創建路徑,請URI在您的網站中提供接受完成的新用戶詳細信息。這URI必須接受POST請求。

      注意

      端點的比對不區分大小寫。正則表達式規範不能包含標誌(?-i),這會禁用不區分大小寫的匹配。字串規格必須以正斜線開頭/

      例如,對於 URLhttps://example.com/web/newaccount,您可以提供字串路徑規格/web/newaccount。以您提供的路徑開頭的帳戶建立路徑會被視為相符項目。例如,/web/newaccount符合帳戶建立路徑/web/newaccount/web/newaccount//web/newaccountPage/web/newaccount/thisPage、和,但不符合路徑/home/web/newaccount/website/newaccount

    4. 針對要求檢查,請指定應用程式接受帳戶建立嘗試的方式,方法是提供要求承載類型,以及要求內文中提供使用者名稱、密碼和其他帳戶建立詳細資訊的欄位名稱。

      注意

      對於主要地址和電話號碼欄位,請依照欄位出現在要求承載中的順序提供欄位。

      欄位名稱的指定取決於有效負載類型。

      • JSON有效負載類型 — 以指JSON標語法指定欄位名稱。如需有關JSON指標語法的資訊,請參閱網際網路工程工作小組 (IETF) 文JavaScript件物件符號 (JSON) 指標

        例如,對於下列範例有JSON效負載,使用者名稱欄位/signupform/username指定為,主要位址欄位規格為/signupform/addrp1/signupform/addrp2、和/signupform/addrp3

        {
    "signupform": {
        "username": "THE_USERNAME",
        "password": "THE_PASSWORD",
        "addrp1": "PRIMARY_ADDRESS_LINE_1",
        "addrp2": "PRIMARY_ADDRESS_LINE_2",
        "addrp3": "PRIMARY_ADDRESS_LINE_3",
        "phonepcode": "PRIMARY_PHONE_CODE",
        "phonepnumber": "PRIMARY_PHONE_NUMBER"
    }
}

      • FORM_ ENCODED 有效負載類型 — 使用HTML表單名稱。

        例如,對於具有名為和的使用者和密碼輸入元素的HTML表單password1,使用者名username1稱欄位規格為username1且密碼欄位規格為password1

    5. 如果您要保護 Amazon CloudFront 分發,請在「回應檢查」下,指定應用程式如何在帳戶建立嘗試的回應中表示成功或失敗。

      注意

      ACFP響應檢查僅在保護 CloudFront 分佈ACLs的 Web 中可用。

      在帳戶建立回應中指定您要ACFP檢查的單一元件。對於「本」和「JSON零組件」類型, AWS WAF 可以檢查組件的前 65,536 個字節(64 KB)。

      提供元件類型的檢驗標準,如介面所示。您必須同時提供成功和失敗準則,才能在元件中進行檢查。

      例如,假設您的應用程序在響應的狀態代碼中指出帳戶創建嘗試的狀態,並用200 OK於成功和/401 Unauthorized403 Forbidden失敗。您可以將回應檢查元件類型設定為狀態碼,然後在成功文字方塊中輸入,200並在失敗文字方塊中輸入401第一行,403在第二行輸入。

      ACFP規則群組只會計算符合成功或失敗檢查準則的回應。規則群組規則會在用戶端上運作,而這些規則群組規則在計數的回應中具有太高的成功率,以減輕批次處理帳號建立嘗試。為了確保規則群組規則的正確行為,請務必提供完整的資訊以供成功和失敗的帳號建立嘗試。

      若要查看檢查帳號建立回應的規則,請VolumetricSessionSuccessfulResponse在列出的規則中尋找VolumetricIPSuccessfulResponseAWS WAF 欺詐控制帳戶創建欺詐預防(ACFP)規則組

  3. 為規則群組提供任何您想要的其他組態。

    您可以在受管規則群組陳述式中新增範圍向下陳述式,進一步限制規則群組檢查的要求範圍。例如,您只能檢查具有特定查詢引數或 Cookie 的請求。規則群組只會檢查符合範圍陳述式中條件的要求,以及傳送至您在規則群組組態中指定的帳戶註冊和帳戶建立路徑的要求。如需有關向下範圍陳述式的資訊,請參閱。使用範圍向下語句 AWS WAF

  4. 將您的變更儲存到網頁ACL。

在針對生產流量部署ACFP實作之前,請先在測試或測試環境中對其進行測試和調整,直到您對流量的潛在影響感到滿意為止。然後在啟用規則之前,使用生產流量在計數模式下測試和調整規則。如需指引,請參閱下一節。