智慧型威脅緩解的最佳做法 AWS WAF

實作 JavaScript 與行動應用程式整合 SDKs — 實作應用程式整合 ACFPATP，以最有效的方式啟用完整的、或 Bot Control 功能。受管規則群組使用由提供的 Token，在工作階段層級SDKs將合法用戶端流量與不需要的流量分開。應用程序集成SDKs確保這些令牌始終可用。如需詳細資訊，請參閱以下：

使用這些集成來實現客戶端中的挑戰，並為 JavaScript自定義CAPTCHA謎題向最終用戶呈現的方式。如需詳細資訊，請參閱 使用用戶端應用程式整合 AWS WAF。

如果您使用自訂CAPTCHA謎題， JavaScript API並且您使用 CAPTCHA 在您的網站上的任何地方的規則操作ACL，請按照指導處理 AWS WAF CAPTCHA在您的客戶端響應處理來自的CAPTCHA回應 AWS WAF。本指南適用於任何使用 CAPTCHA 動作，包括受ACFP管規則群組中的動作，以及 Bot Control 受管理規則群組的目標保護層級。

限制您傳送至ACFP、ATP和機器人控制規則群組的要求 — 使用智慧型威脅緩和措施需支付額外費用 AWS 受管規則規則群組。ACFP規則群組會檢查對您指定的帳號註冊和建立端點的要求。ATP規則群組會檢查您指定之登入端點的要求。機器人控制規則群組會檢查 Web ACL 評估中達到該規則的每個要求。

請考慮下列方法來減少使用這些規則群組：

如需詳細的定價資訊，請參閱 AWS WAF 定價。

在一般網路流量期間啟用 Bot Control 規則群組的目標防護層級 — 目標防護層級的某些規則需要時間為一般流量模式建立基準，才能辨識並回應不規則或惡意的流量模式。例如，TGT_ML_*規則最多需要 24 小時才能預熱。

當您未遭受攻擊時，請新增這些保護，並讓他們有時間建立其基準，然後再預期它們能夠適當地回應攻擊。如果您在攻擊期間新增這些規則，則在攻擊消退後，建立基準的時間通常是正常所需時間的兩倍到三倍，因為攻擊流量增加了偏斜。如需有關規則及其所需預熱時間的其他資訊，請參閱。上市規則

對於分散式拒絕服務 (DDoS) 保護，請使用 Shield Advanced 自動應用程式層DDoS緩和措施 — 智慧型威脅緩和規則群組不提供DDoS保護。ACFP防止嘗試建立應用程式註冊頁面的詐騙帳戶。ATP防止帳戶接管嘗試到您的登錄頁面。Bot Control 著重於使用權杖強制類似人類的存取模式，以及用戶端工作階段的動態速率限制。

在啟用自動應用程式層DDoS緩解功能的情況下使用 Shield Advanced 時，Shield Advanced 會透過建立、評估和部署自訂功能來自動回應偵測到 DDoS AWS WAF 代表您的緩解措施。如需有關「Shield 進階」的更多資訊，請參閱AWS Shield Advanced 概述、和使用 AWS Shield Advanced 和 保護應用程式層 （第 7 層） AWS WAF。

調整和配置令牌處理 — 調整 Web ACL 的令牌處理以獲得最佳用戶體驗。

拒絕具有任意主機規格的請求 — 將受保護的資源配置為要求 Web 請求中的Host標頭與目標資源匹配。您可以接受一個值或一組特定的值，例如myExampleHost.com和www.myExampleHost.com，但不接受主機的任意值。

對於 CloudFront 發佈來源的應用程式負載平衡器，請設定 CloudFront 和 AWS WAF 適當的權杖處理 — 如果您將 Web ACL 與 Application Load Balancer 建立關聯，並將 Application Load Balancer 部署為 CloudFront 發佈的來源，請參閱來源的應用程式負載平衡器所需的組態 CloudFront 。

在部署之前進行測試和調整 — 在對 Web 實施任何更改之前ACL，請遵循本指南中的測試和調整程序，以確保您獲得預期的行為。這對於這些付費功能尤為重要。如需一般指引，請參閱測試和調整您的 AWS WAF 保護。如需付費受管規則群組的特定資訊測試和部署 ACFP，請參閱測試和部署可承諾量、和測試和部署 AWS WAF 機器人控制。