智慧型威脅緩解的最佳做法

實作 JavaScript 和行動應用程式整合 SDK — 實作應用程式整合，以最有效的方式啟用完整的 ACFP、ATP 或機器人控制功能。受管規則群組使用 SDK 提供的 Token，在工作階段層級將合法用戶端流量與不需要的流量分開。應用程序集成 SDK 可確保這些令牌始終可用。如需詳細資訊，請參閱以下：

使用這些集成來實現客戶端中的挑戰，並為 JavaScript自定義 CAPTCHA 難題向最終用戶呈現的方式。如需詳細資訊，請參閱 AWS WAF 用戶端應用整合。

如果您使用 JavaScript API 自定義 CAPTCHA 難題，並在 Web ACL 中的任何位置使用CAPTCHA規則操作，請按照在客戶端中處理 AWS WAF CAPTCHA 響應的指導處理來自的驗證碼響應 AWS WAF。本指引適用於任何使用此CAPTCHA動作的規則，包括 ACFP 受管規則群組中的規則，以及 Bot Control 受管規則群組的目標保護層級。

限制您傳送至 ACFP、ATP 和機器人控制規則群組的要求 — 使用智慧型威脅緩和 AWS 管理規則群組會產生額外費用。ACFP 規則群組會檢查對您指定之帳號註冊和建立端點的要求。可承諾量規則群組會向您指定的登入端點檢查請求。機器人控制規則群組會檢查在 Web ACL 評估中達到的每個要求。

請考慮下列方法來減少使用這些規則群組：

如需更多定價的詳細資訊，請參閱 AWS WAF 定價。

在一般網路流量期間啟用 Bot Control 規則群組的目標防護層級 — 目標防護層級的某些規則需要時間為一般流量模式建立基準，才能辨識並回應不規則或惡意的流量模式。例如，TGT_ML_*規則最多需要 24 小時才能預熱。

當您沒有遭受攻擊時，請新增這些保護，並讓他們有時間建立基準，然後再預期它們能夠適當地回應攻擊。如果您在攻擊期間新增這些規則，則在攻擊消退後，建立基準的時間通常是正常所需時間的兩倍到三倍，因為攻擊流量增加了偏斜。如需有關規則及其所需預熱時間的其他資訊，請參閱。上市規則

對於分佈式拒絕服務（DDoS）保護，請使用 Shield 高級自動應用程序層 DDoS 緩解-智能威脅緩解規則組不提供 DDoS 保護。ACFP 可防止對應用程序的註冊頁面進行欺詐性帳戶創建嘗試。ATP 可防止帳戶接管您的登入頁面。Bot Control 著重於使用權杖強制類似人類的存取模式，以及用戶端工作階段的動態速率限制。

當您在啟用自動應用程式層 DDoS 緩解的情況下使用 Shield Advanced 時，Shield Advanced 會代表您建立、評估和部署自訂 AWS WAF 緩和措施，自動回應偵測到的 DDoS 攻擊。如需有關「Shield 進階」的更多資訊，請參閱AWS Shield Advanced 概述、和AWS Shield Advanced 應用程式層 (第 7 層) 保護。

調整和配置令牌處理 — 調整 Web ACL 的令牌處理以獲得最佳的用戶體驗。

拒絕具有任意主機規格的請求 — 將受保護的資源配置為要求 Web 請求中的Host標頭與目標資源匹配。您可以接受一個值或一組特定的值，例如myExampleHost.com和www.myExampleHost.com，但不接受主機的任意值。

對於作為發佈起源的應用程式負載平衡器，請設定 CloudFront 並進 CloudFront 行 AWS WAF 適當的 Token 處理 — 如果您將 Web ACL 與 Application Load B alancer 產生關聯，並將 Application Load Balancer 部署為 CloudFront 發佈的來源，請參閱來源的應用程式負載平衡器所需的組態 CloudFront 。

在部署之前進行測試和調整 — 在您對 Web ACL 實作任何變更之前，請遵循本指南中的測試和調整程序，以確保您獲得預期的行為。這對於這些付費功能尤為重要。如需一般指引，請參閱測試和調整您的 AWS WAF 保護。如需付費受管規則群組的特定資訊測試和部署 ACFP，請參閱測試和部署可承諾量、和測試和部署 AWS WAF 機器人控制。