將ATP受管規則群組新增至您的網站 ACL - AWS WAFAWS Firewall Manager、 和 AWS Shield Advanced

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

將ATP受管規則群組新增至您的網站 ACL

本節說明如何新增和設定AWSManagedRulesATPRuleSet規則群組。

若要將ATP受管規則群組設定為辨識 Web 流量中的帳戶接管活動,您需要提供用戶端如何傳送登入要求至您的應用程式的相關資訊。對於受保護的 Amazon CloudFront 分發,您還提供有關應用程式如何回應登入請求的資訊。此組態是受管理規則群組的一般組態以外的配置。

如需規則群組說明與規則清單,請參閱AWS WAF 欺詐控制帳戶接管預防(ATP)規則組

注意

ATP遭竊的認證資料庫僅包含電子郵件格式的使用者名稱。

本指引適用於一般知道如何建立和管理的使用者 AWS WAF Web ACLs、規則和規則群組。這些主題涵蓋在本指南之前的章節中。如需如何將受管規則群組新增至 Web 的基本資訊ACL,請參閱透過主控台將受管規則群組新增ACL至 Web

遵循最佳做法

請依照上的最佳作法使用ATP規則群組智慧型威脅緩解的最佳做法 AWS WAF

在您的網站中使用AWSManagedRulesATPRuleSet規則群組 ACL

  1. 添加 AWS 託管規則組,AWSManagedRulesATPRuleSet到您的網站ACL,並在保存之前編輯規則組設置。

    注意

    使用此受管規則群組時,會向您收取額外費用。如需詳細資訊,請參閱 AWS WAF 定價

  2. 規則群組設定窗格中,提供ATP規則群組用來檢查登入要求的資訊。

    1. 對於在路徑中使用正則表達式,如果需要,請打開此選項 AWS WAF ,以針對您的登入頁面路徑規格執行規則運算式比對。

      AWS WAF 支持PCRE庫使用的模式語法,但libpcre有一些例外。該庫記錄在 PCRE-Perl 兼容的正則表達式。有關信息 AWS WAF 支援,請參閱支援的規則運算式語法 AWS WAF

    2. 針對登入路徑,請提供應用程式登入端點的路徑。規則群組只會檢查對您指定登入端點的HTTPPOST要求。

      注意

      端點的比對不區分大小寫。正則表達式規範不能包含標誌(?-i),這會禁用不區分大小寫的匹配。字串規格必須以正斜線開頭/

      例如,對於 URLhttps://example.com/web/login,您可以提供字串路徑規格/web/login。以您提供的路徑開頭的登入路徑會被視為相符項目。例如,/web/login符合登入路徑/web/login/web/login//web/loginPage、、和/web/login/thisPage,但不符合登入路徑/home/web/login/website/login

    3. 針對要求檢查,請指定應用程式接受登入嘗試的方式,方法是提供要求承載類型,以及要求主體中提供使用者名稱和密碼的欄位名稱。欄位名稱的指定取決於裝載類型。

      • JSON有效負載類型 — 以指JSON標語法指定欄位名稱。如需有關JSON指標語法的資訊,請參閱網際網路工程工作小組 (IETF) 文JavaScript件物件符號 (JSON) 指標

        例如,對於下列範例JSON有效負載,使用者名稱欄位指定為/login/username,密碼欄位規格為/login/password

        {
    "login": {
        "username": "THE_USERNAME",
        "password": "THE_PASSWORD"
    }
}

      • FORM_ ENCODED 裝載類型 — 使用HTML表單名稱。

        例如,對於名為和的輸入元素的HTML表單 username1password1,使用者名稱欄位規格為username1且密碼欄位規格為password1

    4. 如果您要保護 Amazon CloudFront 分發,請在「回應檢查」下,指定應用程式如何在回應登入嘗試時表示成功或失敗。

      注意

      ATP響應檢查僅在保護 CloudFront 分佈ACLs的 Web 中可用。

      在登入回應中指定您要ATP檢查的單一元件。對於主JSON零組件類型, AWS WAF 可以檢查組件的前 65,536 個字節(64 KB)。

      提供元件類型的檢驗標準,如介面所示。您必須同時提供成功和失敗準則,才能在元件中進行檢查。

      例如,假設您的應用程序在響應的狀態代碼中指示登錄嘗試的狀態,並用200 OK於成功和/401 Unauthorized403 Forbidden失敗。您可以將回應檢查元件類型設定為狀態碼,然後在成功文字方塊中輸入,200並在失敗文字方塊中輸入401第一行,403在第二行輸入。

      ATP規則群組只會計算符合成功或失敗檢查準則的回應。規則群組規則會對用戶端採取行動,而這些規則群組規則在計數的回應中失敗率過高。為了確保規則群組規則的正確行為,請務必提供成功和失敗登入嘗試的完整資訊。

      若要查看檢查登入回應的規則,請VolumetricSessionFailedLoginResponseHigh在列出的規則中尋找VolumetricIpFailedLoginResponseHighAWS WAF 欺詐控制帳戶接管預防(ATP)規則組

  3. 為規則群組提供任何您想要的其他組態。

    您可以在受管規則群組陳述式中新增範圍向下陳述式,進一步限制規則群組檢查的要求範圍。例如,您只能檢查具有特定查詢引數或 Cookie 的請求。規則群組只會檢查發HTTPPOST送到符合 scopedown 陳述式中條件的指定登入端點的要求。如需有關向下範圍陳述式的資訊,請參閱。使用範圍向下語句 AWS WAF

  4. 將您的變更儲存到網頁ACL。

在針對生產流量部署ATP實作之前,請先在測試或測試環境中對其進行測試和調整,直到您對流量的潛在影響感到滿意為止。然後在啟用規則之前,使用生產流量在計數模式下測試和調整規則。如需指引,請參閱下一節。