测试和部署 ATP - Amazon WAF、Amazon Firewall Manager 和 Amazon Shield Advanced
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

测试和部署 ATP

本节提供配置和测试的一般指导Amazon WAF为您的网站实施欺诈控制账户盗用防范 (ATP)。您选择执行的具体步骤将取决于您的需求、资源和收到的 Web 请求。

生产流量风险

在为生产流量部署 ATP 实施之前,请在暂存或测试环境中对其进行测试和调整,直到您对流量的潜在影响感到满意。然后,在启用规则之前,使用生产流量在计数模式下测试和调整规则。

Amazon WAF提供可用于验证您的 ATP 配置的测试凭证。在以下步骤中,您将配置测试 Web ACL 以使用 ATP 托管规则组,配置规则以捕获规则组添加的标签,然后使用这些测试凭证尝试登录。您将通过查看亚马逊,验证您的 Web ACL 是否正确管理了此次尝试 CloudWatch 登录尝试的指标。

本指南适用于大致了解如何创建和管理的用户Amazon WAFWeb ACL、规则和规则组。这些主题已在本指南的前面章节中介绍。

要配置和测试Amazon WAF欺诈控制账户接管预防 (ATP) 的实施

首先在测试环境中执行这些步骤,然后在生产环境中执行这些步骤。

  1. 添加Amazon WAF欺诈控制账户接管防护 (ATP) 托管规则组

    注意

    使用此托管规则组时,您需要支付额外费用。有关更多信息,请参阅 Amazon WAF 定价

    添加Amazon托管式规则AWSManagedRulesATPRuleSet到新的或现有的 Web ACL 并对其进行配置,使其不会改变当前 Web ACL 的行为。有关此规则组的规则和标签的详细信息,请参阅Amazon WAF欺诈控制账户接管防范 (ATP) 规则组.

    • 添加托管规则组时,对其进行编辑并执行以下操作:

      • 在里面规则组配置窗格,提供应用程序登录页面的详细信息。ATP 规则组使用此信息来监控登录活动。有关更多信息,请参阅 使用 ATP 托管规则组

      • 在里面Rule窗格,打开将所有规则操作设置为计数切换。使用此配置,Amazon WAF根据规则组中的所有规则评估请求,仅计算该结果的匹配次数,同时仍为请求添加标签。有关更多信息,请参阅 将规则操作设置为在规则组中计入

        这使您可以监控 ATP 托管规则的影响,以确定是否要添加例外,例如内部用例的例外。

    • 放置规则组,以便根据您在 Web ACL 中的现有规则对其进行评估,优先级设置在数字上高于您已在使用的任何规则或规则组。有关更多信息,请参阅 Web ACL 中规则和规则组的处理顺序

      这样,您当前的流量处理就不会中断。例如,如果您有检测恶意流量(例如 SQL 注入或跨站脚本)的规则,它们将继续检测并记录这些流量。或者,如果您有允许已知非恶意流量的规则,则这些规则可以继续允许该流量,而不会被 ATP 管理的规则组阻止。在测试和调整活动期间,您可以决定调整处理顺序。

  2. 添加一条规则以与 ATP 规则组的泄露凭据标签相匹配

    在 ATP 规则组之后,立即添加标签匹配规则,如下所示:

    • 与标签匹配awswaf:managed:aws:atp:signal:credential_compromised.

    • 将规则操作设置为Count.

    • 确保此规则的数字优先级设置高于 ATP 规则组,以便该规则在 ATP 规则之后运行。在控制台中,它应该列在最后一位。有关更多信息,请参阅 Web ACL 中规则和规则组的处理顺序

    您将在亚马逊中查找此规则的名称 CloudWatch 指标,当您测试配置时。

  3. 为 Web ACL 启用采样、记录和指标

    根据需要,为 Web ACL 配置日志记录,并启用采样和 Amazon CloudWatch指标。这允许您监控 ATP 管理的规则组与您的流量的交互情况。

  4. 将 WebACL 与资源关联起来

    如果 Web ACL 尚未与测试资源关联,请将其关联。有关信息,请参阅将 Web ACL 与 Web ACL 关联或取消关联Amazon资源

  5. 监控流量和 ATP 规则匹配

    确保您的正常流量正在流动,并且 ATP 管理的规则组规则正在为匹配的 Web 请求添加标签。您可以在日志中看到标签,也可以在亚马逊中查看标签匹配规则指标 CloudWatch 指标。在日志中,您设置为计入规则组的规则显示在下方excludedRules在里面ruleGroupList.

  6. 测试规则组的凭证检查功能

    使用测试泄露的凭据进行登录尝试,并检查规则组是否按预期与之匹配。执行以下操作:

    1. 使用以下任一方式登录到受保护资源的登录页面Amazon WAF测试凭证对:

      • 用户:WAF_TEST_CREDENTIAL,密码:WAF_TEST_CREDENTIAL_PASSWORD

      • 用户:WAF_TEST_CREDENTIAL@wafexample.com,密码:WAF_TEST_CREDENTIAL_PASSWORD

      这些测试凭证被归类为泄露证书,ATP 管理的规则组将添加awswaf:managed:aws:atp:signal:credential_compromised登录请求的标签。

    2. 检查您的测试是否有以下结果:

      • 在您的亚马逊上 CloudWatch 指标,寻找CountedRequest与泄露的凭证标签相匹配的规则指标。有关亚马逊的信息 CloudWatch 指标,请参阅通过Amazon 监控 CloudWatch.

      • 在您的 Web ACL 日志中,查找awswaf:managed:aws:atp:signal:credential_compromised中的标签labels测试登录 Web 请求的日志条目上的字段。有关日志记录的信息,请参阅记录 Web ACL 流量

    在您确认规则组按预期捕获了泄露的凭证后,您可以采取措施根据需要为受保护资源配置其实现。

  7. 自定义 ATP Web 请求处理

    根据需要,添加您自己的明确允许或阻止请求的规则,以更改 ATP 规则处理请求的方式。

    例如,您可以使用 ATP 标签来允许或阻止请求或自定义请求处理。您可以在 ATP 管理的规则组之后添加标签匹配规则,以筛选带标签的请求以进行要应用的处理。测试后,将相关的 ATP 规则保持在计数模式下,并在自定义规则中维护请求处理决策。有关示例,请参阅 ATP 示例:对缺失和泄露的凭证进行自定义处理

  8. 删除您的测试规则并启用 ATP 托管规则组设置

    根据您的情况,您可能已经决定将某些 ATP 规则保留在计数模式下。对于您想要按照规则组内配置的方式运行的规则,请启用常规规则配置。为此,请在规则的 Web ACL 规则组配置中禁用计数模式。完成测试后,您还可以删除测试标签匹配规则。

  9. 监控和调整

    为确保 Web 请求按您的意愿得到处理,请在启用您打算使用的 ATP 功能后密切监视您的流量。使用规则组的规则数覆盖和您自己的规则,根据需要调整行为。

测试完您的 ATP 规则组实施情况后,我们建议您集成Amazon WAFATP JavaScript SDK 进入您的浏览器登录页面,以增强检测功能。Amazon WAF还提供用于集成 iOS 和 Android 设备的移动 SDK。有关集成 SDK 的更多信息,请参阅Amazon WAF客户端应用程序集成.