**推出 的新主控台體驗 AWS WAF** 您現在可以使用更新後的體驗,在主控台的任何位置存取 AWS WAF 功能。如需詳細資訊,請參閱[使用 主控台](https://docs.aws.amazon.com/waf/latest/developerguide/working-with-console.html)。 本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。 # 測試和部署 AWS WAF 機器人控制 本節提供設定和測試您網站之 AWS WAF Bot Control 實作的一般指引。您選擇遵循的特定步驟將取決於您的需求、資源和您收到的 Web 請求。 此資訊是 所提供測試和調校的一般資訊之外的[測試和調校您的 AWS WAF 保護](web-acl-testing.md)。 **注意** AWS 受管規則旨在保護您免受常見的 Web 威脅。根據文件使用時, AWS 受管規則規則群組會為您的應用程式新增另一層安全性。不過, AWS 受管規則規則群組並非旨在取代您的安全責任,這取決於您選擇的 AWS 資源。請參閱 [共同責任模型](https://aws.amazon.com/compliance/shared-responsibility-model/),以確保您在 中的資源 AWS 受到適當保護。 **生產流量風險** 為生產流量部署 Bot Control 實作之前,請先在預備或測試環境中進行測試和調校,直到您對流量的潛在影響感到滿意為止。然後,使用生產流量在計數模式中測試和調校規則,然後再啟用它們。 本指南適用於通常知道如何建立和管理 AWS WAF 保護套件 (Web ACLs)、規則和規則群組的使用者。這些主題涵蓋在本指南的先前章節中。 **設定和測試機器人控制實作** 請先在測試環境中執行這些步驟,然後在生產環境中執行。 1. **新增 Bot Control 受管規則群組** **注意** 當您使用此受管規則群組時,需支付額外費用。如需詳細資訊,請參閱[AWS WAF 定價](https://aws.amazon.com/waf/pricing/)。 將受管 AWS 規則群組`AWSManagedRulesBotControlRuleSet`新增至新的或現有的保護套件 (Web ACL),並加以設定,使其不會變更目前的保護套件 (Web ACL) 行為。 + 當您新增受管規則群組時,請進行編輯並執行下列動作: + 在**檢查層級**窗格中,選取您要使用的檢查層級。 + **常見** – 偵測各種自我識別機器人,例如 Web 抓取架構、搜尋引擎和自動化瀏覽器。此層級的機器人控制保護會使用傳統機器人偵測技術來識別常見的機器人,例如靜態請求資料分析。規則會標記來自這些機器人的流量,並封鎖他們無法驗證的流量。 + **目標型** – 包含共同層級的保護,並為無法自我識別的複雜機器人新增目標型偵測。針對性保護會使用速率限制和 CAPTCHA 和背景瀏覽器挑戰的組合來緩解機器人活動。 + **`TGT_`** – 提供目標保護的規則具有以 開頭的名稱`TGT_`。所有目標防護都使用瀏覽器查詢、指紋和行為啟發式等偵測技術來識別錯誤的機器人流量。 + **`TGT_ML_`** – 使用機器學習的目標保護規則具有以 開頭的名稱`TGT_ML_`。這些規則使用網站流量統計資料的自動化機器學習分析來偵測指示分散式、協調機器人活動的異常行為。 AWS WAF 會分析網站流量的統計資料,例如時間戳記、瀏覽器特性和先前造訪的 URL,以改善 Bot Control 機器學習模型。預設會啟用機器學習功能,但您可以在規則群組組態中停用這些功能。停用機器學習時, AWS WAF 不會評估這些規則。 如需此選項的詳細資訊,請參閱 [AWS WAF 機器人控制規則群組](aws-managed-rule-groups-bot.md)。 + 在**規則**窗格中,開啟**覆寫所有規則動作**下拉式清單,然後選擇 **Count**。透過此組態, 會根據規則群組中的所有規則 AWS WAF 評估請求,並僅計算該結果的相符項目,同時仍將標籤新增至請求。如需詳細資訊,請參閱[覆寫規則群組中的規則動作](web-acl-rule-group-settings.md#web-acl-rule-group-rule-action-override)。 透過此覆寫,您可以監控機器人控制規則對流量的潛在影響,以判斷您是否要新增內部使用案例或所需機器人等物件的例外狀況。 + 放置規則群組,使其在保護套件 (Web ACL) 中最後評估,其優先順序設定在數值上高於您已使用的任何其他規則或規則群組。如需詳細資訊,請參閱[設定規則優先順序](web-acl-processing-order.md)。 如此一來,您目前的流量處理不會中斷。例如,如果您有偵測惡意流量的規則,例如 SQL Injection 或跨網站指令碼,它們將繼續偵測並記錄這些請求。或者,如果您有允許已知非惡意流量的規則,則可以繼續允許該流量,而不會被 Bot Control 受管規則群組封鎖。您可以決定在測試和調校活動期間調整處理順序,但這是開始的好方法。 1. **啟用保護套件的記錄和指標 (Web ACL)** 視需要設定 保護套件 (Web ACL) 的記錄、Amazon Security Lake 資料收集、請求取樣和 Amazon CloudWatch 指標。您可以使用這些可見性工具來監控 Bot Control 受管規則群組與流量的互動。 + 如需日誌記錄的相關資訊,請參閱[記錄 AWS WAF 保護套件 (Web ACL) 流量](logging.md)。 + 如需 Amazon Security Lake 的相關資訊,請參閱《[Amazon Security Lake 使用者指南》中的什麼是 Amazon Security Lake?](https://docs.aws.amazon.com/security-lake/latest/userguide/what-is-security-lake.html)以及[從 AWS 服務收集資料](https://docs.aws.amazon.com/security-lake/latest/userguide/internal-sources.html)。 ** + 如需 Amazon CloudWatch 指標的相關資訊,請參閱 [使用 Amazon CloudWatch 監控](monitoring-cloudwatch.md)。 + 如需 Web 請求取樣的資訊,請參閱 [檢視 Web 請求的範例](web-acl-testing-view-sample.md)。 1. **將保護套件 (Web ACL) 與資源建立關聯** 如果保護套件 (Web ACL) 尚未與資源建立關聯,請建立關聯。如需相關資訊,請參閱[將保護與 AWS 資源建立關聯或取消關聯](web-acl-associating-aws-resource.md)。 1. **監控流量和機器人控制規則相符項目** 確定流量正在流動,且 Bot Control 受管規則群組規則正在將標籤新增至相符的 Web 請求。您可以在日誌中查看標籤,並在 Amazon CloudWatch 指標中查看機器人和標籤指標。在 日誌中,您已覆寫規則群組中計數的規則會顯示在 中,`ruleGroupList`並將 `action` 設定為計數,並`overriddenAction`指出您覆寫的已設定規則動作。 **注意** Bot Control 受管規則群組會使用來自 的 IP 地址來驗證機器人 AWS WAF。如果您使用 Bot Control,且已驗證透過代理或負載平衡器路由的機器人,您可能需要使用自訂規則明確允許它們。如需如何建立自訂規則的資訊,請參閱 [在 中使用轉送的 IP 地址 AWS WAF](waf-rule-statement-forwarded-ip-address.md)。如需有關如何使用規則自訂 Bot Control Web 請求處理的資訊,請參閱下一個步驟。 仔細檢閱 Web 請求處理,找出您可能需要透過自訂處理緩解的任何誤報。如需誤報的範例,請參閱 [使用 AWS WAF Bot Control 的誤判案例範例](waf-bot-control-false-positives.md)。 1. **自訂 Bot Control Web 請求處理** 視需要新增您自己的規則,明確允許或封鎖請求,以變更 Bot Control 規則處理它們的方式。 如何執行此操作取決於您的使用案例,但以下是常見的解決方案: + 明確允許具有您在 Bot Control 受管規則群組之前新增之規則的請求。如此一來,允許的請求永遠不會到達規則群組進行評估。這有助於包含使用 Bot Control 受管規則群組的成本。 + 透過在 Bot Control 受管規則群組陳述式中新增縮小範圍陳述式,從 Bot Control 評估中排除請求。這的運作方式與上述選項相同。它可以協助包含使用 Bot Control 受管規則群組的成本,因為不符合縮小範圍陳述式的請求永遠不會達到規則群組評估。如需縮小範圍陳述式的資訊,請參閱 [在 中使用縮小範圍陳述式 AWS WAF](waf-rule-scope-down-statements.md)。 如需 範例,請參閱下方: + [從機器人管理排除 IP 範圍](waf-bot-control-example-scope-down-ip.md) + [允許來自您控制之機器人的流量](waf-bot-control-example-scope-down-your-bot.md) + 在請求處理中使用機器人控制標籤來允許或封鎖請求。在 Bot Control 受管規則群組之後新增標籤比對規則,從您要封鎖的請求中篩選出要允許的已標記請求。 測試之後,請將相關的機器人控制規則保持在計數模式中,並在您的自訂規則中維護請求處理決策。如需標籤比對陳述式的詳細資訊,請參閱 [標籤比對規則陳述式](waf-rule-statement-type-label-match.md)。 如需這類自訂的範例,請參閱下列內容: + [為封鎖的使用者代理程式建立例外狀況](waf-bot-control-example-user-agent-exception.md) + [允許特定封鎖的機器人](waf-bot-control-example-allow-blocked-bot.md) + [封鎖已驗證的機器人](waf-bot-control-example-block-verified-bots.md) 如需額外的範例,請參閱[AWS WAF 機器人控制範例](waf-bot-control-examples.md)。 1. **視需要啟用 Bot Control 受管規則群組設定** 根據您的情況,您可能已決定要將一些機器人控制規則保留在計數模式中,或使用不同的動作覆寫。對於您想要在規則群組內設定時執行的規則,請啟用規則組態。若要這樣做,請在保護套件 (Web ACL) 中編輯規則群組陳述式,並在**規則**窗格中進行變更。