流量过滤规则(包括 WAF 规则)最佳实践
了解在 AEM as a Cloud Service 中配置流量过滤规则(包括 WAF 规则)的推荐最佳实践,以提升安全性并降低风险。
IMPORTANT
本文所述的最佳实践并不详尽,不应替代您自己的安全策略与程序。
通用最佳实践
- 从 Adobe 推荐的规则集出发,包括标准流量过滤规则和 WAF 规则,并根据您应用的具体需求与威胁环境进行调整。
- 与您的安全团队协作,确定哪些规则符合组织的安全策略和合规要求。
- 在将新规则或更新后的规则推广至暂存和生产环境之前,务必先在开发环境中进行充分测试。
- 在声明和验证规则时,建议首先将
action类型设为log,以便在不拦截合法流量的前提下观察行为模式。 - 在分析了足够的流量数据且确认不会影响合法请求后,再将规则从
log切换为block模式。 - 建议逐步引入规则,并让质量保证(QA)、性能测试和安全团队共同参与测试,以识别可能产生的意外影响。
- 定期使用仪表板分析工具审查和分析规则的有效性。审查频率(每日、每周或每月)应根据您网站的流量规模与风险状况进行调整。
- 应持续根据最新的威胁情报、流量行为及审查结果优化规则。
流量过滤规则最佳实践
-
使用 Adobe 推荐的标准流量过滤规则作为基准,其中包括针对边缘和源端的防护以及基于 OFAC 的访问限制规则。
-
定期查看警报与日志,识别滥用行为或错误配置的模式。
-
根据您应用程序的流量特征和用户行为,调整速率限制的阈值。
有关如何选择阈值的指导,请参见下表:
table 0-row-2 1-row-2 2-row-2 1-align-left 2-align-left 4-align-left 5-align-left 7-align-left 8-align-left 变体 值 源站 取 正常 流量条件下每个 IP/POP 的最大源站请求数的最大值(即,不是 DDoS 攻击时的速率),并将其增加几倍 边缘 取 正常 流量条件下(即非 DDoS 攻击期间),取每个 IP/接入点(POP)下最大边缘请求数的最高值,并按一定倍数进行放大 更多详细信息,请参阅选择阈值部分。
-
只有在确认
log操作不会影响合法流量后,才能将规则切换为block操作。
WAF 规则最佳实践
- 建议从 Adobe 推荐的 WAF 规则出发,其中包括阻止已知恶意 IP、检测 DDoS 攻击以及减少机器人滥用的各种规则。
ATTACKWAF 标志能够警告您有潜在的威胁。务必先确保不存在误报情况,然后才切换为block模式。- 如果推荐的 WAF 规则未涵盖某些特定威胁,您可以根据应用的独特需求创建自定义规则。请在文档中查看完整的 WAF 标志列表。
实施规则
了解如何在 AEM as a Cloud Service 中实施流量过滤规则和 WAF 规则:
了解如何在 AEM as a Cloud Service 中使用 Adobe 推荐的标准流量过滤规则防护 AEM 网站抵御 DoS、DDoS 攻击以及机器人滥用。
了解如何在 AEM as a Cloud Service 中使用 Adobe 推荐的 Web 应用程序防火墙(WAF)规则防御包括 DoS、DDoS 和机器人滥用在内的复杂安全威胁。
其他资源
recommendation-more-help
4859a77c-7971-4ac9-8f5c-4260823c6f69