概述 — 保护 AEM 网站
了解如何在 AEM as a Cloud Service 中使用流量过滤规则(包含其子类别 Web 应用程序防火墙(WAF) 规则)来保护您的 AEM 网站,防御拒绝服务攻击(DoS)、分布式拒绝服务攻击(DDoS)、恶意流量以及其他更复杂的攻击。
您还将了解标准流量过滤规则与 WAF 流量过滤规则之间的差异、各自的适用场景,以及如何开始使用 Adobe 推荐的规则。
AEM as a Cloud Service 流量安全简介
AEM as a Cloud Service 通过集成的 CDN 层来保护并优化您网站的内容分发。 CDN 层最关键的一个组件是定义并强制执行流量规则。 这些规则充当防护屏障,有助于防止滥用、误用及各类攻击,同时不影响站点性能。
流量安全对于保障网站可用性、保护敏感数据以及为合法用户提供顺畅体验至关重要。 AEM 提供两类安全规则:
- 标准流量过滤规则
- Web 应用程序防火墙(WAF)流量过滤规则
这些规则集可帮助客户防御常见和复杂的 Web 威胁,减少来自恶意或异常客户端的干扰,并通过记录请求、阻止机制和模式识别提升整体可观测性。
标准流量过滤规则与 WAF 流量过滤规则之间的区别
log 模式,然后再切换为 block 模式ATTACK-FROM-BAD-IP WAF 标志使用 block 模式,为 ATTACK WAF 标志使用 log 模式,然后统一切换为 block 模式wafFlags 在 YAML 中定义,通过 Cloud Manager 配置管道部署标准流量过滤器规则可用于实施特定于业务的策略(如速率限制或阻止特定区域),以及根据请求属性和标头(如IP地址、路径或用户代理)阻止流量。
另一方面,WAF流量过滤器规则为已知的Web利用漏洞和攻击向量提供全面的主动保护,并拥有高级智能来限制误报(即阻止合法流量)。
若要定义这两种类型的规则,请使用YAML语法,有关详细信息,请参阅流量过滤器规则语法。
何时以及为何使用这些规则
在以下情况下使用标准流量过滤规则:
- 需要采用组织特定的限制策略,例如 IP 速率限制。
- 已知需要过滤的特定模式(例如恶意 IP 地址、特定地区、请求头信息等)。
在以下情况下使用 WAF 流量过滤规则:
- 您希望获得全面且主动的防护,防御广泛传播的已知攻击模式(例如注入攻击、协议滥用)以及来源于专业威胁情报数据源的已知恶意 IP。
- 您希望在拦截恶意请求的同时,最大限度地降低误拦合法流量的风险。
- 您希望采用简单的配置规则,在减少防御工作的同时有效应对常见和复杂的安全威胁。
这些规则共同构建起一个纵深防御策略,使 AEM as a Cloud Service 客户能够采取主动与被动相结合的安全措施来保护其数字资产。
Adobe 推荐的规则
Adobe 推荐标准流量过滤规则和 WAF 流量过滤规则,帮助您快速保护 AEM 站点的安全。
-
标准流量过滤规则 (默认提供):用于应对常见的滥用场景,例如针对 CDN 边缘或 源端 的 DoS、DDoS 攻击,以及来自受限国家/地区的流量。
示例包括:- 对 在 CDN 边缘 每秒发起超过 500 次请求的 IP 进行速率限制
- 对 在源端 每秒发起超过 100 次请求的 IP 进行速率限制
- 阻止来自美国财政部外国资产控制办公室(OFAC)所列国家/地区的流量
-
WAF流量过滤器规则(需要附加许可证):针对复杂威胁(包括OWASP十大威胁,如SQL注入、跨站点脚本(XSS)和其他Web应用程序攻击)提供额外保护。
示例包括:- 阻止来自已知恶意 IP 地址的请求
- 记录或阻止被标记为攻击行为的可疑请求
开始使用
通过以下设置指南和用例了解如何在 AEM as a Cloud Service 中定义、部署、测试和分析流量过滤规则(包括 WAF 规则)。 这些为您提供了背景知识,使您后续能够自信地应用 Adobe 推荐的规则。
Adobe 推荐规则的设置指南
本指南提供分步说明,帮助您在 AEM as a Cloud Service 环境中设置并部署 Adobe 推荐的标准流量过滤规则和 WAF 流量过滤规则。
了解如何在 AEM as a Cloud Service 中使用 Adobe 推荐的标准流量过滤规则防护 AEM 网站抵御 DoS、DDoS 攻击以及机器人滥用。
了解如何在 AEM as a Cloud Service 中使用 Adobe 推荐的 Web 应用程序防火墙(WAF)流量过滤规则,防御包括 DoS、DDoS 和机器人滥用在内的复杂安全威胁。
高级用例
对于更复杂的场景,您可以参考以下用例,了解如何根据具体业务需求实施自定义流量过滤规则:
