本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
智能威胁缓解最佳实践
遵循本节中的最佳实践,以最有效、最具成本效益的方式实施智能威胁缓解功能。
-
实施 JavaScript 和移动应用程序集成 SDK — 实施应用程序集成,以尽可能有效的方式启用全套 ATP 或 Bot Control 功能。托管规则组使用软件开发工具包提供的令牌在会话级别将合法的客户端流量与不需要的流量分开。应用程序集成 SDK 确保这些令牌始终可用。有关详细信息,请参阅 为什么要使用带有 Bot Control 的应用程序集成 SDK 和 为什么要将应用程序集成 SDK 与 ATP 一起使用。
要实现软件开发工具包,请参阅Amazon WAF客户机应用程序集成。
-
限制向 ATP 和 Bot Control 规则组发送的请求 — 使用智能威胁缓解Amazon管理规则组需要支付额外费用。机器人控制规则组会检查 Web ACL 评估中到达它的每个请求。ATP 规则组仅检查登录请求,但如果您计划出于地理来源等原因拒绝登录请求,请在 ATP 规则组之前运行这些规则。
考虑使用以下方法来减少对这些规则组的使用:
-
在托管规则组语句中使用范围缩小语句将请求排除在检查范围之外。你可以使用任何可嵌套的语句来做到这一点。有关信息,请参阅 范围缩小声明。
-
通过在规则组之前添加规则,将请求排除在检查范围之外。对于不能在范围缩小语句中使用的规则以及更复杂的情况,例如先加标签再进行标签匹配,可能需要添加在规则组之前运行的规则。有关信息,请参阅 范围缩小声明 和 Amazon WAF 规则语句。
-
按照较便宜的规则运行规则组。如果您有其他出于任何原因阻止请求的标准Amazon WAF规则,请在这些付费规则组之前运行这些规则。有关规则和规则管理的更多信息,请参阅Amazon WAF 规则语句
-
如果您同时使用 ATP 和机器人控制规则组,请先运行机器人控制规则组。这是更便宜的规则组。
有关详细定价信息,请参阅 Amazon WAF 定价
。 -
-
对于分布式拒绝服务 (DDoS) 防护,请使用 Shield Advanced 自动应用层 DDoS 缓解——智能威胁缓解规则组不提供 DDoS 保护。ATP 可防止有人企图接管您的登录页面的账户。Bot Control 专注于使用令牌和对客户端会话进行动态速率限制来强制执行类似人类的访问模式。
当您使用启用了自动应用层 DDoS 缓解功能的 Shield AdvanAmazon WAF ced 时,Shield Advanced 会通过代表您创建、评估和部署自定义缓解措施来自动响应检测到的 DDoS 攻击。有关 Shield Advanced 的更多信息Amazon Shield Advanced 概览,请参阅和Amazon Shield Advanced应用层(第 7 层)保护。
-
调整和配置令牌处理-调整 Web ACL 的令牌处理以获得最佳用户体验。
-
要降低运营成本并改善最终用户体验,请将代币管理免疫时间调整到安全要求允许的最长时间。这样可以将验证码谜题和无声挑战的使用降至最低。有关信息,请参阅 时间戳到期:代币豁免时间。
-
要在受保护的应用程序之间启用令牌共享,请为 Web ACL 配置令牌域列表。有关信息,请参阅 代币域和域名列表。
-
-
拒绝具有任意主机规格的请求-将您的受保护资源配置为要求 Web 请求中的
Host标头与目标资源相匹配。您可以接受一个值或一组特定的值,例如myExampleHost.com和www.myExampleHost.com,但不接受主机的任意值。 -
对于作为 CloudFront 发行来源的Application Load Balancer,请配置 CloudFront 并Amazon WAF进行适当的令牌处理 — 如果您将 Web ACL 关联到Application Load Balancer,并将应用程序负载均衡器部署为 CloudFront 分配的来源,请参阅作为 CloudFront来源的应用程序负载均衡器需要配置。
-
部署前进行测试和调整 — 在对 Web ACL 进行任何更改之前,请按照本指南中的测试和调整程序进行操作,以确保获得预期的行为。这对于这些付费功能特别重要。有关一般指导,请参见测试和调整您的Amazon WAF保护措施。有关付费管理规则组的特定信息,请参阅测试和部署Amazon WAF机器人控制和测试和部署 ATP。