概述 — 保护 AEM 网站
了解如何在 AEM as a Cloud Service 中使用流量过滤规则(包含其子类别 Web 应用程序防火墙(WAF) 规则)来保护您的 AEM 网站,防御拒绝服务攻击(DoS)、分布式拒绝服务攻击(DDoS)、恶意流量以及其他更复杂的攻击。
您还将了解标准流量过滤规则与 WAF 流量过滤规则之间的差异、各自的适用场景,以及如何开始使用 Adobe 推荐的规则。
AEM as a Cloud Service 流量安全简介
AEM as a Cloud Service 通过集成的 CDN 层来保护并优化您网站的内容分发。CDN 层最关键的一个组件是定义并强制执行流量规则。这些规则充当防护屏障,有助于防止滥用、误用及各类攻击,同时不影响站点性能。
流量安全对于保障网站可用性、保护敏感数据以及为合法用户提供顺畅体验至关重要。AEM 提供两类安全规则:
- 标准流量过滤规则
- Web 应用程序防火墙(WAF)流量过滤规则
这些规则集可帮助客户防御常见和复杂的 Web 威胁,减少来自恶意或异常客户端的干扰,并通过记录请求、阻止机制和模式识别提升整体可观测性。
标准流量过滤规则与 WAF 流量过滤规则之间的区别
log 模式,然后再切换为 block 模式ATTACK-FROM-BAD-IP WAF 标志使用 block 模式,为 ATTACK WAF 标志使用 log 模式,然后统一切换为 block 模式wafFlags 在 YAML 中定义,通过 Cloud Manager 配置管道部署标准流量过滤规则适用于执行业务特定的策略,例如设置速率限制、阻止来自特定地区的访问,或根据请求属性和请求头(如 IP 地址、路径或用户代理)阻止特定流量。相比之下,WAF 流量过滤规则提供针对已知 Web 漏洞和攻击向量的全面主动防护,并具备先进的智能机制以减少误报(即误拦合法流量)。
要定义这两类规则,均需使用 YAML 语法,详见流量过滤规则语法说明。
何时以及为何使用这些规则
在以下情况下使用标准流量过滤规则:
- 需要采用组织特定的限制策略,例如 IP 速率限制。
- 已知需要过滤的特定模式(例如恶意 IP 地址、特定地区、请求头信息等)。
在以下情况下使用 WAF 流量过滤规则:
- 您希望获得全面且主动的防护,防御广泛传播的已知攻击模式(例如注入攻击、协议滥用)以及来源于专业威胁情报数据源的已知恶意 IP。
- 您希望在拦截恶意请求的同时,最大限度地降低误拦合法流量的风险。
- 您希望采用简单的配置规则,在减少防御工作的同时有效应对常见和复杂的安全威胁。
这些规则共同构建起一个纵深防御策略,使 AEM as a Cloud Service 客户能够采取主动与被动相结合的安全措施来保护其数字资产。
Adobe 推荐的规则
Adobe 推荐标准流量过滤规则和 WAF 流量过滤规则,帮助您快速保护 AEM 站点的安全。
-
标准流量过滤规则 (默认提供):用于应对常见的滥用场景,例如针对 CDN 边缘或 源端 的 DoS、DDoS 攻击,以及来自受限国家/地区的流量。
示例包括:- 对 在 CDN 边缘 每秒发起超过 500 次请求的 IP 进行速率限制
- 对 在源端 每秒发起超过 100 次请求的 IP 进行速率限制
- 阻止来自美国财政部外国资产控制办公室(OFAC)所列国家/地区的流量
-
WAF 流量过滤规则(需额外许可证):提供针对复杂威胁的增强防护,包括 OWASP Top Ten 所列的安全风险,如 SQL 注入、跨站点脚本(XSS)以及其他 Web 应用程序攻击。示例包括:
- 阻止来自已知恶意 IP 地址的请求
- 记录或阻止被标记为攻击行为的可疑请求
开始使用
通过以下设置指南和用例了解如何在 AEM as a Cloud Service 中定义、部署、测试和分析流量过滤规则(包括 WAF 规则)。这些为您提供了背景知识,使您后续能够自信地应用 Adobe 推荐的规则。
Adobe 推荐规则的设置指南
本指南提供分步说明,帮助您在 AEM as a Cloud Service 环境中设置并部署 Adobe 推荐的标准流量过滤规则和 WAF 流量过滤规则。
了解如何在 AEM as a Cloud Service 中使用 Adobe 推荐的标准流量过滤规则防护 AEM 网站抵御 DoS、DDoS 攻击以及机器人滥用。
了解如何在 AEM as a Cloud Service 中使用 Adobe 推荐的 Web 应用程序防火墙(WAF)流量过滤规则,防御包括 DoS、DDoS 和机器人滥用在内的复杂安全威胁。
高级用例
对于更复杂的场景,您可以参考以下用例,了解如何根据具体业务需求实施自定义流量过滤规则:
