概觀 - 保護 AEM 網站
了解如何使用 流量篩選器規則 保護您的 AEM 網站不受阻斷服務 (DoS)、分散式阻斷服務 (DDoS)、惡意流量和複雜攻擊的侵害,其中包括 AEM as a Cloud Service 中的 Web 應用程式防火牆 (WAF) 規則子類別。
您也將了解標準流量篩選器規則與 WAF 流量篩選器規則之間的差別、適用時機,以及如何開始使用 Adobe 建議的規則。
AEM as a Cloud Service 中的流量安全性簡介
AEM as a Cloud Service 運用整合式 CDN 層保護並最佳化網站的內容傳遞。CDN 層最重要其中一個元件是定義和執行流量規則的能力。這些規則做為保護盾,幫助保護您的網站不受濫用、誤用和攻擊,同時又不影響效能。
流量安全性對於維持系統正常運作、保護敏感性資料,以及確保合法使用者獲得順暢體驗非常重要。AEM 提供兩種安全性規則的類別:
- 標準流量篩選器規則
- Web 應用程式防火牆 (WAF) 流量篩選器規則
這些規則集有助於協助客戶防範常見與複雜的網路威脅、降低來自惡意或異常行為用戶端的干擾,並透過要求記錄、封鎖與模式偵測提高可觀察性。
標準和 WAF 流量篩選器規則之間的區別
log 模式開始,然後移至 block 模式block 模式 (針對 ATTACK-FROM-BAD-IP WAF 標幟) 和 log 模式 (針對 ATTACK WAF 標誌) 開始,然後針對兩者轉到 block 模式wafFlags 在 YAML 中定義並透過 Cloud Manager 設定管道部署標準流量篩選器規則有助於執行企業特定的原則,例如速率限制或封鎖特定地區,以及根據要求屬性與標頭 (例如 IP 位址、路徑或使用者代理程式) 來封鎖流量。
另一方面,WAF 流量篩選器規則可針對已知的網路漏洞與攻擊向量提供全面且主動的防護,並具備進階智慧功能以降低誤判 (例如:誤封合法流量) 的情況。
若要定義這兩種類型的規則,需要使用 YAML 語法,請參閱流量篩選器規則語法以了解更多詳細資訊。
使用的時機和理由
在以下情況下使用標準流量篩選器規則:
- 您想要套用特定於組織的限制,例如 IP 速率限制。
- 您知道需要篩選的特定模式 (例如,惡意的 IP 位址、區域、標題)。
在以下情況下使用 WAF 流量篩選器規則:
- 您需要全面的 主動防護 以抵禦廣泛已知的攻擊模式 (例如,注入、通訊協定濫用),以及從專家資料來源收集的已知惡意 IP。
- 您希望拒絕惡意要求,同時降低誤封合法流量的可能性。
- 您希望透過套用簡單的設定規則,來降低防禦常見與複雜威脅所需的努力。
這些規則共同構成一套縱深防禦策略,使 AEM as a Cloud Service 的客戶能夠採取主動與被動的安全措施,以保護其數位資產。
Adobe 建議的規則
Adobe 提供了標準流量篩選器和 WAF 流量篩選器規則的建議規則,以協助您迅速保護 AEM 網站的安全。
-
標準流量篩選器規則 (預設可用):處理常見的濫用案例,例如針對 CDN 邊緣、來源或來自受制裁國家/地區流量的 DoS、DDoS 和機器人攻擊。
例如:- 對在 CDN 邊緣每秒發出超過 500 次要求的 IP 進行速率限制
- 對在 來源 每秒發出超過 100 次要求的 IP 進行速率限制
- 封鎖來自美國海外資產辦公室 (OFAC) 所列的國家/地區流量
-
WAF 流量篩選器規則 (需附加元件授權):提供對複雜威脅的額外保護,包括像 SQL 注入、跨網站指令碼 (XSS) 和其他 Web 應用程式攻擊等 OWASP 十大安全漏洞的威脅。例如:
- 封鎖來自已知惡意 IP 位址的要求
- 記錄或封鎖標幟為攻擊的可疑要求
快速入門
透過以下設定指南與使用案例,了解如何在 AEM as a Cloud Service 中定義、部署、測試與分析流量篩選器規則 (包含 WAF 規則)。此提供您背景知識,以便日後可以自信地套用 Adobe 建議的規則。
Adobe 建議的規則設定指南
本指南提供逐步操作說明,協助您 AEM as a Cloud Service 環境中設定,並部署 Adobe 建議的標準流量篩選器規則與 WAF 流量篩選器規則。
了解如何使用 Adobe 建議的標準流量篩選器規則,在 AEM as a Cloud Service 中保護 AEM 網站不受 DoS、DDoS 攻擊與機器人濫用的侵害。
了解如何使用 Adobe 建議的 Web 應用程式防火牆 (WAF) 流量篩選器規則,在 AEM as a Cloud Service 中保護網站不受包括 DoS、DDoS 及機器人濫用攻擊等在內的複雜威脅。
進階使用案例
針對較進階的案例,您可以參考以下使用案例,了解如何根據特定業務需求實作自訂的流量篩選器規則。
