将 ATP 托管规则组添加到您的 Web ACL

在 Web ACL 中使用AWSManagedRulesATPRuleSet规则组

1. 将Amazon托管规则组添加AWSManagedRulesATPRuleSet到 Web ACL，并在保存之前编辑规则组设置。

   注意

   使用此托管规则组时，需要向您收取额外费用。有关更多信息，请参阅 Amazon WAF 定价。

   注意

   有关如何将托管规则组添加到 Web ACL 的基本信息，请参阅通过控制台将托管规则组添加到 Web ACL。

2. 在规则组配置窗格中，提供 ATP 规则组用来检查登录请求的信息。

   1. 对于登录路径，请提供应用程序登录终端节点的路径。例如，对于 URL https://example.com/web/login，您将提供路径 /web/login。以您提供的路径开头的登录路径被视为匹配路径。例如，/web/login匹配登录路径/web/login、/web/login//web/loginPage/web/login/thisPage、和，但与登录路径/home/web/login或不匹配/website/login。

      规则组仅检查对您指定登录端点的 HTTPPOST 请求。

   2. 对于请求检查，通过提供请求负载类型以及请求正文中提供用户名和密码的字段的名称，指定您的应用程序如何接受登录尝试。您对字段名称的指定取决于负载类型。

      • JSON 负载类型-以 JSON 指针语法指定字段名称。有关 JSON 指针语法的信息，请参阅互联网工程任务组 (IETF) 文档JavaScript对象表示法 (JSON) 指针。

        例如，对于以下示例 JSON 负载，用户名字段规范为/login/username，密码字段规范为/login/password。

        {
            "login": {
                "username": "THE_USERNAME",
                "password": "THE_PASSWORD"
            }
        }

      • FORM_CONDEDED 负载类型 — 使用 HTML 表单名称。

        例如，对于输入元素名为username1和的 HTML 表单password1，用户名字段规范为username1，密码字段规范为password1。

   3. 如果您要保护亚马逊 CloudFront 发行版，则在 “响应检查” 下，指定您的应用程序如何显示其对登录尝试的响应是成功还是失败。

      注意

      ATP 响应检查仅在保护 CloudFront 发行版的 Web ACL 中可用。

      在登录响应中指定您希望 ATP 检查的单个组件。对于 B od y 和 JSON 组件类型，Amazon WAF可以检查组件的前 65,536 字节 (64 KB)。

      如界面所示，提供组件类型的检查标准。您必须提供要在组件中检查的成功和失败标准。

      例如，假设您的应用程序在响应的状态码中指示了登录尝试的状态，并使用200 OK成功和/401 Unauthorized 或403 Forbidden表示失败。您可以将响应检查组件类型设置为状态代码，然后在成功文本框中输入，200然后在失败文本框的第一行和403第二行中输401入。

      ATP 规则组仅计算与您的成功或失败检查标准相匹配的回复。当客户端在计数的响应中失败率过高时，规则组规则会对客户端起作用。为确保规则组规则的行为准确，请务必提供成功和失败的登录尝试的完整信息。

      要查看检查登录响应的规则，请在规则列表VolumetricSessionFailedLoginResponseHigh中查找VolumetricIpFailedLoginResponseHigh和Amazon WAF欺诈控制账户收购预防 (ATP) 规则组。

3. 为规则组提供所需的任何其他配置。

   您可以通过向托管规则组语句中添加 scope-down 语句来进一步限制规则组检查的请求范围。例如，您只能检查带有特定查询参数或 cookie 的请求。规则组将仅检查发往您的指定登录端点的 HTTPPOST 请求，这些请求与您的 scope-down 语句中的条件相匹配。有关范围缩小语句的信息，请参见范围缩小声明。

4. 保存您对Web ACL 所做的更改。