**推出 的新主控台體驗 AWS WAF**
您現在可以使用更新後的體驗,在主控台的任何位置存取 AWS WAF 功能。如需詳細資訊,請參閱[使用 主控台](https://docs.aws.amazon.com/waf/latest/developerguide/working-with-console.html)。
本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 測試和調校您的 AWS WAF 保護
本節提供測試和調校 AWS WAF 保護套件 (Web ACLs)、規則、規則群組、IP 集和 regex 模式集的指引。
建議您先測試和調校 AWS WAF 保護套件 (Web ACL) 的任何變更,再將其套用至網站或 Web 應用程式流量。
**生產流量風險**
在部署生產流量的保護套件 (Web ACL) 實作之前,請在預備或測試環境中進行測試和調校,直到您對流量的潛在影響感到滿意為止。然後,使用生產流量在計數模式中測試和調校規則,然後再啟用它們。
本節也提供一般指引,以測試您使用由其他人管理的規則群組。其中包括 AWS 受管規則規則群組、 AWS Marketplace 受管規則群組,以及另一個帳戶與您共用的規則群組。對於這些規則群組,也請遵循您從規則群組提供者取得的任何指引。
+ 如需 Bot Control AWS 受管規則規則群組,另請參閱 [測試和部署 AWS WAF 機器人控制](waf-bot-control-deploying.md)。
+ 如需帳戶接管預防 AWS 受管規則規則群組,另請參閱 [測試和部署 ATP](waf-atp-deploying.md)。
+ 如需帳戶建立詐騙預防 AWS 受管規則規則群組,另請參閱 [測試和部署 ACFP](waf-acfp-deploying.md)。
**更新期間的暫時性不一致**
當您建立或變更保護套件 (Web ACL) 或其他 AWS WAF 資源時,變更會花費少量的時間傳播到存放資源的所有區域。傳播時間可以是幾秒鐘到幾分鐘。
以下是您在變更傳播期間可能注意到的暫時不一致的範例:
+ 建立保護套件 (Web ACL) 之後,如果您嘗試將其與資源建立關聯,您可能會收到例外狀況,指出保護套件 (Web ACL) 無法使用。
+ 將規則群組新增至保護套件 (Web ACL) 之後,新的規則群組規則可能會在使用保護套件 (Web ACL) 的一個區域中生效,而不會在另一個區域中生效。
+ 變更規則動作設定後,您可能會在某些地方看到舊動作,在其他地方看到新動作。
+ 將 IP 地址新增至封鎖規則中使用的 IP 集之後,新的地址可能會在某個區域中遭到封鎖,同時仍允許在另一個區域中封鎖。
# 測試和調校高階步驟
本節提供測試 Web ACL 變更的步驟檢查清單,包括其使用的任何規則或規則群組。
**注意**
若要遵循本節中的指引,您需要了解如何建立和管理 AWS WAF 保護,例如保護套件 (Web ACLs)、規則和規則群組。本指南稍早章節會介紹該資訊。
**測試和調校您的保護套件 (Web ACL)**
請先在測試環境中執行這些步驟,然後在生產環境中執行。
1.
**準備進行測試**
準備您的監控環境、將新 AWS WAF 保護切換到計數模式進行測試,並建立您需要的任何資源關聯。
請參閱 [準備測試您的 AWS WAF 保護](web-acl-testing-prep.md)。
1.
**在測試和生產環境中監控和調校**
先在測試或預備環境中監控和調整您的 AWS WAF 保護,然後在生產環境中監控和調整保護,直到您對它們可以根據需要處理流量感到滿意為止。
請參閱 [監控和調校您的 AWS WAF 保護](web-acl-testing-activities.md)。
1.
**在生產環境中啟用您的保護**
當您對測試保護感到滿意時,請將它們切換到生產模式、清除任何不必要的測試成品,然後繼續監控。
請參閱 [在生產環境中啟用您的保護](web-acl-testing-enable-production.md)。
完成實作變更後,請繼續監控您的 Web 流量和生產環境中的保護,以確保它們如預期般運作。Web 流量模式可能會隨著時間而變更,因此您可能需要偶爾調整保護。
# 準備測試您的 AWS WAF 保護
本節說明如何設定 來測試和調校您的 AWS WAF 保護。
**注意**
若要遵循本節中的指引,您需要大致了解如何建立和管理 AWS WAF 保護,例如保護套件 (Web ACLs)、規則和規則群組。本指南稍早章節會介紹該資訊。
**準備進行測試**
1.
**啟用保護套件 (Web ACL) 記錄、Amazon CloudWatch 指標和保護套件 (Web ACL) 的 Web 請求取樣**
使用記錄、指標和抽樣來監控保護套件 (Web ACL) 規則與 Web 流量的互動。
+ **記錄** – 您可以設定 AWS WAF 來記錄保護套件 (Web ACL) 評估的 Web 請求。您可以將日誌傳送至 CloudWatch 日誌、Amazon S3 儲存貯體或 Amazon Data Firehose 交付串流。您可以編輯欄位並套用篩選。如需詳細資訊,請參閱[記錄 AWS WAF 保護套件 (Web ACL) 流量](logging.md)。
+ **Amazon Security Lake** – 您可以設定 Security Lake 來收集保護套件 (Web ACL) 資料。Security Lake 會從各種來源收集日誌和事件資料,以進行標準化、分析和管理。如需此選項的相關資訊,請參閱《[Amazon Security Lake 使用者指南》中的什麼是 Amazon Security Lake?](https://docs.aws.amazon.com/security-lake/latest/userguide/what-is-security-lake.html)以及[從 AWS 服務收集資料](https://docs.aws.amazon.com/security-lake/latest/userguide/internal-sources.html)。 **
+ **Amazon CloudWatch 指標** – 在保護套件 (Web ACL) 組態中,為您要監控的所有項目提供指標規格。您可以透過 AWS WAF 和 CloudWatch 主控台檢視指標。如需詳細資訊,請參閱[使用 Amazon CloudWatch 監控](monitoring-cloudwatch.md)。
+ **Web 請求取樣** – 您可以檢視保護套件 (Web ACL) 評估的所有 Web 請求範例。如需有關 Web 請求取樣的資訊,請參閱 [檢視 Web 請求的範例](web-acl-testing-view-sample.md)。
1.
**將您的保護設定為 Count 模式**
在保護套件 (Web ACL) 組態中,將您要測試的任何項目切換為計數模式。這會導致測試保護針對 Web 請求記錄相符項目,而不會改變請求的處理方式。您將能夠在指標、日誌和抽樣請求中看到相符項目,以驗證相符條件並了解對 Web 流量的影響。將標籤新增至相符請求的規則,無論規則動作為何,都會新增標籤。
+ **保護套件 (Web ACL) 中定義的規則** – 編輯保護套件 (Web ACL) 中的規則,並將其動作設定為 Count。
+ **規則群組** – 在保護套件 (Web ACL) 組態中,編輯規則群組的規則陳述式,然後在**規則**窗格中開啟**覆寫所有規則動作**下拉式清單,然後選擇 **Count**。如果您在 JSON 中管理保護套件 (Web ACL),請將規則新增至規則群組參考陳述式中的`RuleActionOverrides`設定,並將 `ActionToUse`設定為 Count。下列範例清單顯示 `AWSManagedRulesAnonymousIpList` AWS 受管規則規則群組中兩個規則的覆寫。
```
"ManagedRuleGroupStatement": {
"VendorName": "AWS",
"Name": "AWSManagedRulesAnonymousIpList",
"RuleActionOverrides": [
{
"ActionToUse": {
"Count": {}
},
"Name": "AnonymousIPList"
},
{
"ActionToUse": {
"Count": {}
},
"Name": "HostingProviderIPList"
}
],
"ExcludedRules": []
}
},
```
如需規則動作覆寫的詳細資訊,請參閱 [覆寫規則群組中的規則動作](web-acl-rule-group-settings.md#web-acl-rule-group-rule-action-override)。
對於您自己的規則群組,請勿修改規則群組本身中的規則動作。具有 Count動作的規則群組規則不會產生測試所需的指標或其他成品。此外,變更規則群組會影響使用規則群組的所有保護套件 (Web ACLs),而保護套件 (Web ACL) 組態內的變更只會影響單一保護套件 (Web ACL)。
+ **protection pack (web ACL)** – 如果您要測試新的保護套件 (web ACL),請將保護套件 (web ACL) 的預設動作設定為允許請求。這可讓您試用 Web ACL,而不會以任何方式影響流量。
一般而言,計數模式會產生比生產更多的相符項目。這是因為計算請求的規則不會停止保護套件 (Web ACL) 對請求的評估,因此稍後在保護套件 (Web ACL) 中執行的規則也可能符合請求。當您將規則動作變更為其生產設定時,允許或封鎖請求的規則將終止其相符請求的評估。因此,相符的請求通常會由保護套件 (Web ACL) 中的較少規則進行檢查。如需規則動作對 Web 請求整體評估之影響的詳細資訊,請參閱 [在 中使用規則動作 AWS WAF](waf-rule-action.md)。
使用這些設定,您的新保護不會改變 Web 流量,但會在指標、保護套件 (Web ACL) 日誌和請求範例中產生相符資訊。
1.
**將保護套件 (Web ACL) 與資源建立關聯**
如果保護套件 (Web ACL) 尚未與資源建立關聯,請建立關聯。
請參閱 [將保護與 AWS 資源建立關聯或取消關聯](web-acl-associating-aws-resource.md)。
您現在可以監控和調整保護套件 (Web ACL)。
# 監控和調校您的 AWS WAF 保護
監控和調整您的 AWS WAF 保護。
**注意**
若要遵循本節中的指引,您需要大致了解如何建立和管理 AWS WAF 保護,例如保護套件 (Web ACLs)、規則和規則群組。本指南稍早章節會介紹該資訊。
監控 Web 流量和規則相符項目,以驗證保護套件 (Web ACL) 的行為。如果您發現問題,請調整您的規則以更正,然後監控 以驗證調整。
重複下列程序,直到保護套件 (Web ACL) 視需要管理您的 Web 流量為止。
**監控和調校**
1.
**監控流量和規則相符項目**
請確定流量正在流動,而且您的測試規則正在尋找相符的請求。
尋找以下資訊,了解您正在測試的保護:
+ **日誌** – 存取符合 Web 請求之規則的相關資訊:
+ **您的規則** - 保護套件 (Web ACL) 中具有 Count 動作的規則會列在 下`nonTerminatingMatchingRules`。具有 Allow或 的規則Block會列為 `terminatingRule`。具有 CAPTCHA或 的規則Challenge可以終止或非終止,因此會根據規則比對的結果,列在兩個類別的其中之一下。
+ **規則群組** - 規則群組會在 `ruleGroupId` 欄位中識別,其規則符合與獨立規則的分類相同。
+ **標籤** - 規則已套用至請求的標籤會列在 `Labels` 欄位中。
如需詳細資訊,請參閱[保護套件 (Web ACL) 流量的日誌欄位](logging-fields.md)。
+ **Amazon CloudWatch 指標** – 您可以存取以下用於保護套件 (Web ACL) 請求評估的指標。
+ **您的規則** – 指標會依規則動作分組。例如,當您在 Count 模式下測試規則時,其相符項目會列為保護套件 (Web ACL) 的`Count`指標。
+ **您的規則群組** – 規則群組的指標會列在規則群組指標下。
+ **另一個帳戶擁有的規則群組** – 規則群組指標通常只有規則群組擁有者可見。不過,如果您覆寫規則的規則動作,則該規則的指標會列在您的保護套件 (Web ACL) 指標下。此外,任何規則群組新增的標籤都會列在您的保護套件 (Web ACL) 指標中。
規則群組中的計數動作規則不會發出 Web ACL 維度指標 - 僅限規則、RuleGroup 和區域維度。即使在 Web ACL 中參考規則群組,這也適用。
此類別中的規則群組是 [AWS 的受管規則 AWS WAF](aws-managed-rule-groups.md)、[辨識其他服務提供的規則群組](waf-service-owned-rule-groups.md)、 [AWS Marketplace 規則群組](marketplace-rule-groups.md)和規則群組,這些群組由另一個帳戶與您共用。透過 Firewall Manager 部署保護套件 (Web ACL) 時,WebACL 中具有計數動作的任何規則都不會在成員帳戶中顯示其指標。
+ **標籤** - 在評估期間新增至 Web 請求的標籤會列在保護套件 (Web ACL) 標籤指標中。您可以存取所有標籤的指標,無論它們是由您的規則和規則群組新增,還是由另一個帳戶擁有的規則群組中的規則新增。
如需詳細資訊,請參閱[檢視 Web ACL 的指標](web-acl-testing-view-metrics.md)。
+ **保護套件 (Web ACL) 流量概觀儀表板** – 存取保護套件 (Web ACL) 已評估的 Web 流量摘要,方法是前往 AWS WAF 主控台中的保護套件 (Web ACL) 頁面並開啟**流量概觀**索引標籤。
流量概觀儀表板提供近乎即時的 Amazon CloudWatch 指標摘要,這些指標會在評估應用程式 Web 流量時 AWS WAF 收集。
如需詳細資訊,請參閱[保護套件的流量概觀儀表板 (Web ACLs)](web-acl-dashboards.md)。
+ **抽樣 Web 請求** – 存取符合 Web 請求抽樣之規則的資訊。範例資訊會依保護套件 (Web ACL) 中規則的指標名稱來識別相符的規則。對於規則群組,指標會識別規則群組參考陳述式。對於規則群組內的規則,範例會列出 中的相符規則名稱`RuleWithinRuleGroup`。
如需詳細資訊,請參閱[檢視 Web 請求的範例](web-acl-testing-view-sample.md)。
1.
**設定緩解措施以解決誤判**
如果您判斷規則正在產生誤報,則透過比對不應該產生的 Web 請求,下列選項可協助您調整保護套件 (Web ACL) 保護以減輕錯誤。
**更正規則檢查條件**
對於您自己的規則,您通常只需要調整您用來檢查 Web 請求的設定。範例包括變更規則運算式模式集中的規格、調整您在檢查前套用至請求元件的文字轉換,或使用轉送的 IP 地址切換到 。請參閱 下導致問題的規則類型指引[在 中使用規則陳述式 AWS WAF](waf-rule-statements.md)。
**修正更複雜的問題**
對於您無法控制的檢查條件和某些複雜的規則,您可能需要進行其他變更,例如新增明確允許或封鎖請求的規則,或消除有問題規則評估的請求。受管規則群組通常需要這種類型的緩解措施,但其他規則也可能需要。範例包括速率型規則陳述式和 SQL Injection 攻擊規則陳述式。
如何緩解誤報取決於您的使用案例。以下是常見的方法:
+ **新增緩解規則** – 新增在新規則之前執行的規則,並明確允許導致誤報的請求。如需 Web ACL 中規則評估順序的資訊,請參閱 [設定規則優先順序](web-acl-processing-order.md)。
透過此方法,允許的請求會傳送至受保護的資源,因此永遠不會到達新規則進行評估。如果新規則是付費的受管規則群組,此方法也有助於包含使用規則群組的成本。
+ **新增具有緩解規則的邏輯規則** – 使用邏輯規則陳述式將新規則與排除誤報的規則結合。如需相關資訊,請參閱[在 中使用邏輯規則陳述式 AWS WAF](waf-rule-statements-logical.md)。
例如,假設您要新增 SQL Injection 攻擊比對陳述式,該陳述式會為某個類別的請求產生誤報。建立符合這些請求的規則,然後使用邏輯規則陳述式合併規則,以便僅在不符合誤報條件且確實符合 SQL Injection 攻擊條件的請求上進行比對。
+ **新增縮小範圍陳述式** – 對於以速率為基礎的陳述式和受管規則群組參考陳述式,透過在主要陳述式中新增縮小範圍陳述式,排除導致誤報的請求。
不符合範圍縮小陳述式的請求絕不會達到規則群組或速率型評估。如需縮小範圍陳述式的詳細資訊,請參閱 [在 中使用縮小範圍陳述式 AWS WAF](waf-rule-scope-down-statements.md)。如需範例,請參閱 [從機器人管理排除 IP 範圍](waf-bot-control-example-scope-down-ip.md)。
+ **新增標籤比對規則** – 對於使用標籤的規則群組,請識別有問題規則套用至請求的標籤。如果您尚未這麼做,您可能需要先在計數模式中設定規則群組規則。新增標籤比對規則,定位為在規則群組之後執行,比對有問題的規則所新增的標籤。在標籤比對規則中,您可以從要封鎖的請求中篩選要允許的請求。
如果您使用此方法,在完成測試時,請將有問題的規則保留在規則群組中的計數模式中,並保留您的自訂標籤比對規則。如需標籤比對陳述式的詳細資訊,請參閱 [標籤比對規則陳述式](waf-rule-statement-type-label-match.md)。如需範例,請參閱 [允許特定封鎖的機器人](waf-bot-control-example-allow-blocked-bot.md) 和 [ATP 範例:針對遺失和洩露的登入資料進行自訂處理](waf-atp-control-example-user-agent-exception.md)。
+ **變更受管規則群組的版本** – 對於版本控制的受管規則群組,請變更您正在使用的版本。例如,您可以切換回您成功使用的最後一個靜態版本。
這通常是暫時修正。當您在測試或預備環境中繼續測試最新版本,或是等待供應商提供更相容的版本時,您可以變更生產流量的版本。如需受管規則群組版本的資訊,請參閱 [在 中使用受管規則群組 AWS WAF](waf-managed-rule-groups.md)。
當您確定新規則符合您需要的請求時,請移至測試的下一個階段並重複此程序。在生產環境中執行測試和調校的最後階段。
# 檢視 Web ACL 的指標
本節說明如何檢視保護套件 (Web ACL) 的指標。
將保護套件 (Web ACL) 與一或多個 AWS 資源建立關聯之後,您可以在 Amazon CloudWatch 圖表中檢視關聯的結果指標。
如需 AWS WAF 指標的資訊,請參閱 [AWS WAF 指標和維度](waf-metrics.md)。如需 CloudWatch 指標的相關資訊,請參閱《[Amazon CloudWatch 使用者指南](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/WhatIsCloudWatch.html)》。
對於保護套件 (Web ACL) 中的每個規則,以及關聯資源 AWS WAF 針對保護套件 (Web ACL) 轉送的所有請求,CloudWatch 可讓您執行下列動作:
+ 檢視前一小時或前三小時的資料。
+ 變更資料點之間的間隔。
+ 變更 CloudWatch 對資料執行的計算,例如最大值、最小值、平均值或總和。
**注意**
AWS WAF 搭配 CloudFront 是全球服務,且 指標僅在您於 中選擇**美國東部 (維吉尼亞北部) **區域時可用。 AWS 管理主控台如果您選擇另一個區域,則 CloudWatch 主控台中不會顯示任何 AWS WAF 指標。
**檢視保護套件中規則的資料 (Web ACL)**
1. 登入 AWS 管理主控台 ,並在 https://[https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/) 開啟 CloudWatch 主控台。
1. 如有必要,請將區域變更為 AWS 資源所在的區域。針對 CloudFront,選擇美國東部 (維吉尼亞北部) 區域。
1. 在導覽窗格**的指標**下,選擇**所有指標**,然後在 的**瀏覽**索引標籤下搜尋`AWS::WAFV2`。
1. 選取您要檢視資料的保護套件 (Web ACL) 的核取方塊。
1. 變更適用的設定:
**統計數字**
選擇 CloudWatch 對資料執行的計算。
**時間範圍**
選擇您想要檢視前一小時或前三個小時的資料。
**Period**
選擇圖形中資料點之間的間隔。
**Rules**
選擇您要檢視資料的規則。
如果您變更規則的名稱,並且希望規則的指標名稱反映變更,則也必須更新指標名稱。當您變更規則名稱時 AWS WAF , 不會自動更新規則的指標名稱。您可以使用規則 JSON 編輯器,在主控台中編輯規則時變更指標名稱。您也可以透過 APIs 和用於定義保護套件 (Web ACL) 或規則群組的任何 JSON 清單中變更這兩個名稱。
注意下列事項:
+ 如果您最近將保護套件 (Web ACL) 與 AWS 資源建立關聯,您可能需要等待幾分鐘,資料才會出現在圖形中,保護套件 (Web ACL) 的指標才會出現在可用指標清單中。
+ 如果您將多個資源與保護套件 (Web ACL) 建立關聯,CloudWatch 資料將包含所有資源的請求。
+ 您可以將游標暫留在資料點上,以取得更多資訊。
+ 圖形不會自動自我重新整理。若要更新顯示,請選擇重新整理 (![\[Icon to refresh the CloudWatch graph\]](http://docs.aws.amazon.com/zh_tw/waf/latest/developerguide/images/cloudwatch-refresh-icon.png)) 圖示。
如需 CloudWatch 指標的詳細資訊,請參閱[使用 Amazon CloudWatch 監控](monitoring-cloudwatch.md)。
# 保護套件的流量概觀儀表板 (Web ACLs)
本節說明 主控台中的 AWS WAF 保護套件 (Web ACL) 流量概觀儀表板。將保護套件 (Web ACL) 與一或多個 AWS 資源建立關聯並啟用保護套件 (Web ACL) 的指標後,您可以前往 AWS WAF 主控台中的保護套件 (Web ACL) **的流量概觀**索引標籤,存取保護套件 (Web ACL) 評估的 Web 流量摘要。儀表板包含近乎即時的 Amazon CloudWatch 指標摘要,這些指標會在評估應用程式 Web 流量時 AWS WAF 收集,包括專業 AI 機器人和客服人員活動分析。
**注意**
如果您在儀表板上看不到任何內容,請確定您已啟用保護套件 (Web ACL) 的指標。
保護套件 (Web ACL) 的**流量概觀**索引標籤包含具有下列資訊類別的標籤式儀表板:
+ **最佳安全洞見** – 透過直接查詢 Amazon CloudWatch logs取得 AWS WAF 的 AWS WAF 保護洞見。儀表板的其餘部分使用 CloudWatch 指標。這些洞見提供更豐富的資訊,但查詢 CloudWatch 日誌會產生額外的成本。如需額外費用的詳細資訊,請參閱 [Amazon CloudWatch Logs 定價](https://aws.amazon.com/cloudwatch/pricing/)。
+ **AI 流量分析** – 針對 AI 機器人和代理程式活動分析的 Web 請求,包括機器人識別、意圖分類、存取模式和時間趨勢。當您的保護套件 (Web ACL) 接收 AI 機器人流量時,即可使用此標籤
+ **所有流量** – 保護套件 (Web ACL) 評估的所有 Web 請求。
儀表板著重於終止動作,但您可以在下列位置檢視計數規則的相符項目:
+ 此儀表板的前 **10 個規則**窗格。切換**切換切換為計數動作**以顯示計數規則相符項目。
+ 保護套件 (Web ACL) 頁面**的範例請求**索引標籤。這個新標籤包含所有規則相符項目的圖形。如需相關資訊,請參閱[檢視 Web 請求的範例](web-acl-testing-view-sample.md)。
+ **反 DDoS** – 保護套件 (Web ACL) 使用`AntiDDoSRuleSet`反 DDoS 受管規則群組評估的 Web 請求。
只有在保護套件 (Web ACL) 中使用此規則群組時,才能使用此標籤。
+ **Bot Control** – 保護套件 (Web ACL) 使用 Bot Control 受管規則群組評估的 Web 請求。
+ 如果您在保護套件 (Web ACL) 中未使用此規則群組,此標籤會顯示根據 Bot Control 規則評估 Web 流量取樣的結果。這可讓您了解應用程式接收的機器人流量,而且免費。
此規則群組是 AWS WAF 提供智慧型威脅緩解選項的一部分。如需詳細資訊,請參閱[AWS WAF 機器人控制](waf-bot-control.md)及[AWS WAF 機器人控制規則群組](aws-managed-rule-groups-bot.md)。
+ **防止帳戶接管** – 保護套件 (Web ACL) 使用 AWS WAF 詐騙控制帳戶接管預防 (ATP) 受管規則群組評估的 Web 請求。只有在保護套件 (Web ACL) 中使用此規則群組時,才能使用此標籤。
ATP 規則群組是智慧型威脅緩解方案的一部分 AWS WAF 。如需詳細資訊,請參閱[AWS WAF 詐騙控制帳戶接管預防 (ATP)](waf-atp.md)及[AWS WAF 詐騙控制帳戶接管預防 (ATP) 規則群組](aws-managed-rule-groups-atp.md)。
+ **防止帳戶建立詐騙** – 保護套件 (Web ACL) 使用 AWS WAF 詐騙控制帳戶建立詐騙預防 (ACFP) 受管規則群組評估的 Web 請求。只有在保護套件 (Web ACL) 中使用此規則群組時,才能使用此標籤。
ACFP 規則群組是智慧型威脅緩解方案的一部分 AWS WAF 。如需詳細資訊,請參閱[AWS WAF 詐騙控制帳戶建立詐騙預防 (ACFP)](waf-acfp.md)及[AWS WAF 詐騙控制帳戶建立詐騙預防 (ACFP) 規則群組](aws-managed-rule-groups-acfp.md)。
儀表板是以保護套件 (Web ACL) 的 CloudWatch 指標為基礎,而圖表提供 CloudWatch 中對應指標的存取權。對於智慧型威脅緩解儀表板,例如 Bot Control,使用的指標主要是標籤指標。
+ 如需 AWS WAF 提供的指標清單,請參閱 [AWS WAF 指標和維度](waf-metrics.md)。
+ 如需 CloudWatch 指標的相關資訊,請參閱《[Amazon CloudWatch 使用者指南](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/WhatIsCloudWatch.html)》。
儀表板會針對您選取的終止動作和日期範圍,提供流量模式的摘要。智慧型威脅緩解儀表板包含對應的受管規則群組評估的請求,無論受管規則群組本身是否套用終止動作。例如,如果選取 Block ,**帳戶接管預防**儀表板會包含由 ATP 受管規則群組評估並在保護套件 (Web ACL) 評估期間某個時間點封鎖的所有 Web 請求的資訊。ATP 受管規則群組、在保護套件 (Web ACL) 中的規則群組之後執行的規則,或保護套件 (Web ACL) 預設動作可以封鎖請求。
# 檢視保護套件的儀表板 (Web ACL)
遵循本節中的程序來存取保護套件 (Web ACL) 儀表板,並設定資料篩選條件。如果您最近將保護套件 (Web ACL) 與 AWS 資源建立關聯,您可能需要等待幾分鐘,才能在儀表板中使用資料。
儀表板包含您對與保護套件 (Web ACL) 相關聯的所有資源的請求。
**檢視保護套件的**流量概觀**儀表板 (Web ACL)**
1. 登入 AWS 管理主控台 並在 https://[https://console.aws.amazon.com/wafv2/homev2](https://console.aws.amazon.com/wafv2/homev2) 開啟 AWS WAF 主控台。
1. 在導覽窗格中,選擇**保護套件 (Web ACLs)**,然後搜尋您感興趣的 Web ACL。
1. 選取保護套件 (Web ACL)。主控台會帶您前往保護套件 (Web ACL) 的頁面。預設會選取**流量概觀**索引標籤。
1. 視需要變更**資料篩選條件**設定。
+ **終止規則動作** – 選取要包含在儀表板中的終止動作。儀表板摘要說明具有保護套件 (Web ACL) 評估所套用之所選動作之一的 Web 請求指標。如果您選取所有可用的動作,儀表板會包含所有評估的 Web 請求。如需 動作的相關資訊,請參閱 [AWS WAF 如何處理規則和規則群組動作](web-acl-rule-actions.md)。
+ **時間範圍** – 選取要在儀表板中檢視的時間間隔。您可以選擇檢視相對於現在的時間範圍,例如過去 3 小時或上週,而且您可以從行事曆中選取絕對時間範圍。
+ **時區** – 當您指定絕對時間範圍時,會套用此設定。您可以使用瀏覽器的本機時區或 UTC (國際標準時間)。
檢閱您感興趣的索引標籤中的資訊。資料篩選條件選擇會套用至所有儀表板。在圖形窗格中,您可以將游標暫留在資料點或區域上,以查看任何其他詳細資訊。
**Count 動作規則**
您可以在兩個位置之一檢視計數動作比對的資訊。
+ 在此**流量概觀**索引標籤中,在所有**流量**儀表板上,尋找**前 10 個規則**窗格,並切換**切換切換以計數動作**。開啟此切換後,窗格會顯示計數規則相符項目,而不是終止規則相符項目。
+ 在保護套件 (Web ACL) 的**取樣請求**索引標籤中,查看您在**流量概觀**索引標籤上設定的時間範圍之所有規則比對和動作的圖表。如需**取樣請求**索引標籤的相關資訊,請參閱 [檢視 Web 請求的範例](web-acl-testing-view-sample.md)。
**Amazon CloudWatch 指標**
在儀表板圖形窗格中,您可以存取圖形資料的 CloudWatch 指標。選擇圖形窗格頂端的選項,或從窗格內的 ****⋮ (垂直省略號) 下拉式選單中選擇。
**重新整理儀表板**
儀表板不會自動重新整理。若要更新顯示,請選擇重新整理![\[Icon to refresh the dashboard graph\]](http://docs.aws.amazon.com/zh_tw/waf/latest/developerguide/images/cloudwatch-refresh-icon.png)圖示。
# 保護套件的流量概觀儀表板範例 (Web ACLs)
本節顯示保護套件 (Web ACLs) 流量概觀儀表板的範例畫面。
**注意**
如果您已使用 AWS WAF 來保護應用程式資源,您可以在 AWS WAF 主控台的頁面上查看任何保護套件 (Web ACLs) 的儀表板。如需相關資訊,請參閱[檢視保護套件的儀表板 (Web ACL)](web-acl-dashboards-accessing.md)。
**範例畫面:資料篩選條件和**所有流量**儀表板動作計數**
下列螢幕擷取畫面說明已選取**所有流量索引標籤的保護套件 (Web ACL) 的流量**概觀。資料篩選條件設定為預設值:過去三小時內的所有終止動作。
在所有流量儀表板中,是各種終止動作的動作總計。每個窗格都會列出請求計數,並顯示上/下箭頭,指出自前三個小時時間範圍以來的變更。
![\[AWS WAF 主控台會顯示已選取預設資料篩選條件的保護套件 (Web ACL) 頁面流量概觀索引標籤。終止規則動作選項為 Block、CAPTCHA、 Allow和 Challenge。資料篩選條件區段下方是所有流量、機器人控制和帳戶接管預防的索引標籤。\]](http://docs.aws.amazon.com/zh_tw/waf/latest/developerguide/images/web-acl-dashboard-data-filters-default-top-actions.png)
**範例畫面:**Bot Control** 儀表板動作計數**
下列螢幕擷取畫面說明 Bot Control 儀表板的動作計數。這會顯示時間範圍的相同總計窗格,但計數僅適用於 Bot Control 規則群組評估的請求。進一步向下,在**動作總計**窗格中,您可以查看指定三小時時間範圍內的動作計數。在此時間範圍內,CAPTCHA動作不會套用至規則群組評估的任何請求。
![\[AWS WAF 主控台會顯示 Bot Control 儀表板的頂端部分,其中包含整個時間範圍的動作總計和整個時間範圍的動作總計。\]](http://docs.aws.amazon.com/zh_tw/waf/latest/developerguide/images/web-acl-dashboard-bot-action-totals.png)
**範例畫面:**AI 流量分析儀表板**動作計數**
下列螢幕擷取畫面說明保護套件 (Web ACL) 的 AI 流量分析儀表板。儀表板會顯示所選時間範圍內的 AI 機器人活動,其中包含機器人組織、意圖類型和驗證狀態的篩選條件。
![\[AWS WAF 主控台會顯示 AI 流量分析儀表板的頂端部分,其中包含整個時間範圍和動作總計的頂端爬蟲程式和頂端路徑。\]](http://docs.aws.amazon.com/zh_tw/waf/latest/developerguide/images/waf-phantom-edge-dashboard.png)
儀表板包括:
+ **機器人身分面板** – 列出名稱和組織偵測到的 AI 機器人
+ **意圖分類** – 將機器人目的分類 (爬取、編製索引、研究等)
+ **存取模式** – AI 代理器使用請求計數存取的熱門 URLs
+ **時間分析** – 具有 14 天歷史檢視的每小時和每日活動趨勢
+ **組織明細** – 依機器人擁有者組織的流量
**範例畫面:**Bot Control** 儀表板字符狀態摘要圖表**
下列螢幕擷取畫面說明 Bot Control 儀表板中提供的兩個摘要圖形。**字符狀態**窗格會顯示各種字符狀態標籤的計數,並搭配套用至請求的規則動作。**IP 字符缺少閾值**窗格會顯示來自 IP 的請求資料,這些 IPs在沒有字符的情況下傳送太多請求。
將滑鼠游標暫留在圖形中的任何區域上,會顯示可用的資訊詳細資訊。在此螢幕擷取畫面中的**字符狀態**窗格中,滑鼠將游標暫留在某個時間點上,而不在任何圖形行上,因此主控台會顯示該時間點所有行的資料。
![\[AWS WAF 主控台會顯示兩個用於權杖狀態的窗格,以及缺少 IP 權杖閾值的窗格,每個窗格中具有封鎖和挑戰請求的類似圖形行。字符狀態窗格也有允許請求的圖形。\]](http://docs.aws.amazon.com/zh_tw/waf/latest/developerguide/images/web-acl-dashboard-bot-token-panes.png)
本節僅顯示保護套件 (Web ACL) 流量概觀儀表板中提供的一些流量摘要。若要查看任何保護套件 (Web ACLs) 的儀表板,請在 主控台中開啟保護套件 (Web ACL) 的頁面。如需如何執行此操作的詳細資訊,請參閱 中的指引[檢視保護套件的儀表板 (Web ACL)](web-acl-dashboards-accessing.md)。
# 檢視 Web 請求的範例
本節說明 AWS WAF 主控台中的保護套件 (Web ACL) **取樣請求**索引標籤。在此索引標籤中,您可以檢視 AWS WAF 已檢查之 Web 請求的所有規則相符項目的圖表。此外,如果您已啟用保護套件 (Web ACL) 的請求取樣,您可以查看 AWS WAF 已檢查的 Web 請求範例的資料表檢視。您也可以透過 API 呼叫 擷取取樣的請求資訊`GetSampledRequests`。
請求範例包含最多 100 個符合保護套件 (Web ACL) 中規則條件的請求,以及另外 100 個不符合任何規則且已套用保護套件 (Web ACL) 預設動作的請求請求。範例中的請求來自過去三小時內收到您內容請求的所有受保護資源。
當 Web 請求符合規則中的條件,且該規則的動作不會終止請求評估時, AWS WAF 會使用保護套件 (Web ACL) 中的後續規則繼續檢查 Web 請求。因此,Web 請求可能會多次出現。如需規則動作行為的資訊,請參閱 [在 中使用規則動作 AWS WAF](waf-rule-action.md)。
**檢視所有規則圖表和取樣請求**
1. 登入 AWS 管理主控台 並在 https://[https://console.aws.amazon.com/wafv2/homev2](https://console.aws.amazon.com/wafv2/homev2) 開啟 AWS WAF 主控台。
1. 在導覽窗格中,選擇**保護套件 (Web ACLs)**。
1. 選擇您要檢視請求的保護套件 (Web ACL) 名稱。主控台會帶您前往保護套件 (Web ACL) 的描述,您可以在其中編輯它。
1. 在**抽樣請求**索引標籤中,您可以看到以下內容:
+ **所有規則圖表** – 此圖表顯示指定時間範圍內執行的所有 Web 請求評估的相符規則和規則動作。
**注意**
此圖表的時間範圍是在**資料篩選條件**區段的保護套件 (Web ACL) **流量概觀**索引標籤中設定。如需相關資訊,請參閱[檢視保護套件的儀表板 (Web ACL)](web-acl-dashboards-accessing.md)。
+ **取樣請求表** – 此表會顯示過去 3 小時的取樣請求資料。
**注意**
如果您沒有看到預期的受管規則群組範例,請參閱此程序下方的一節。
對於每個項目,資料表會顯示下列資料:
**指標名稱**
符合請求之保護套件 (Web ACL) 中規則的 CloudWatch 指標名稱。如果 Web 請求不符合保護套件 (Web ACL) 中的任何規則,則此值為**預設值**。
如果您變更規則的名稱,並且希望規則的指標名稱反映變更,則也必須更新指標名稱。當您變更規則名稱時 AWS WAF , 不會自動更新規則的指標名稱。您可以使用規則 JSON 編輯器,在主控台中編輯規則時變更指標名稱。您也可以透過 APIs 和用於定義保護套件 (Web ACL) 或規則群組的任何 JSON 清單中變更這兩個名稱。
**來源 IP**
請求源自的 IP 地址,或者,如果檢視器使用 HTTP 代理或 Application Load Balancer 傳送請求,則為代理或 Application Load Balancer 的 IP 地址。
**URI**
URL 識別資源的一部分,例如 `/images/daily-ad.jpg`。
**規則群組內的規則**
如果指標名稱識別規則群組參考陳述式,這會識別符合請求之規則群組內的規則。
**Action**
指出對應規則的動作。如需可能規則動作的相關資訊,請參閱 [在 中使用規則動作 AWS WAF](waf-rule-action.md)。
Web ACL 檢視中無法使用規則群組中具有計數動作的規則範例請求。只有規則群組擁有者可以看到規則群組規則的計數指標和取樣請求。
**時間**
從受保護資源 AWS WAF 收到請求的時間。
若要顯示 Web 請求元件的其他資訊,請在請求資料列中選擇 URI 的名稱。
**受管規則群組中規則的取樣請求**
主控台會顯示規則群組的指標,其中包含指定已觸發規則的「規則群組內的規則」。您可以使用最新的`RuleActionOverrides`設定來檢視預設動作規則集和規則的指標。對於使用較舊`ExcludedRules`設定的規則,請從**範例請求**指標規則下拉式清單的規則集中選取特定規則。
如果您看到較舊的設定,請將它們取代為新的設定,以開始透過主控台提供取樣的請求。您可以透過主控台執行此操作,方法是編輯保護套件 (Web ACL) 中的受管規則群組並加以儲存。 AWS WAF 會自動將任何較舊的設定取代為 `RuleActionOverrides` 設定,並將規則動作覆寫設定為 Count。如需這兩個設定的詳細資訊,請參閱 [JSON 清單:`RuleActionOverrides`取代 `ExcludedRules`](web-acl-rule-group-override-options.md#web-acl-rule-group-override-replaces-exclude)。
您可以透過 AWS WAF REST API、 SDKs 或命令列,存取具有舊覆寫的規則的取樣請求。如需詳細資訊,請參閱《 *AWS WAF API 參考*》中的 [GetSampledRequests](https://docs.aws.amazon.com/waf/latest/APIReference/API_GetSampledRequests.html)。
以下顯示命令列請求的語法:
```
aws wafv2 get-sampled-requests \
--web-acl-arn webACL ARN \
--rule-metric-name Metric name of the rule in the managed rule group \
--scope=REGIONAL or CLOUDFRONT \
--time-window StartTime=UTC timestamp,EndTime=UTC timestamp \
--max-items 100
```
# 在生產環境中啟用您的保護
本節提供在生產環境中啟用調校保護的說明。
當您在生產環境中完成測試和調校的最後階段時,請在生產模式中啟用您的保護。
**生產流量風險**
在部署生產流量的保護套件 (Web ACL) 實作之前,請在測試環境中進行測試和調校,直到您對流量的潛在影響感到滿意為止。在啟用生產流量的保護之前,也使用您的生產流量在計數模式中進行測試和調校。
**注意**
若要遵循本節中的指引,您需要大致了解如何建立和管理 AWS WAF 保護,例如保護套件 (Web ACLs)、規則和規則群組。本指南稍早章節會介紹該資訊。
請先在測試環境中執行這些步驟,然後在生產環境中執行。
**在生產環境中啟用您的 AWS WAF 保護**
1.
**切換到您的生產保護**
更新您的保護套件 (Web ACL) 並切換您的生產設定。
1.
**移除您不需要的任何測試規則**
如果您新增了生產環境中不需要的測試規則,請將其移除。如果您使用任何標籤比對規則來篩選受管規則群組規則的結果,請務必保留這些規則。
1.
**切換到生產動作**
將新規則的動作設定變更為其預期的生產設定。
+ **保護套件 (Web ACL) 中定義的規則** – 編輯保護套件 (Web ACL) 中的規則,並將其動作從 Count 變更為生產動作。
+ **規則群組** – 在規則群組的保護套件 (Web ACL) 組態中,根據您的測試和調校活動的結果,切換規則以使用自己的動作或保留其Count動作覆寫。如果您使用標籤比對規則來篩選規則群組規則的結果,請務必保留該規則的覆寫。
若要使用規則的動作切換到 ,請在保護套件 (Web ACL) 組態中編輯規則群組的規則陳述式,並移除規則的Count覆寫。如果您在 JSON 中管理保護套件 (Web ACL),請在規則群組參考陳述式中,從`RuleActionOverrides`清單中移除規則的項目。
+ **protection pack (web ACL)** – 如果您變更了測試的 protection pack (web ACL) 預設動作,請將其切換到其生產設定。
使用這些設定,您的新保護會如預期般管理 Web 流量。
當您儲存保護套件 (Web ACL) 時,與之相關聯的資源將使用您的生產設定。
1.
**監控和調校**
為了確保 Web 請求可依您想要的方式處理,請在啟用新功能後密切監控流量。您將監控生產規則動作的指標和日誌,而不是您在調校工作中監控的計數動作。視需要持續監控和調整行為,以適應 Web 流量的變更。