如何設定流量篩選器規則 (包括 WAF 規則)
了解 如何設定 流量篩選器規則,包括 Web 應用程式防火牆 (WAF) 規則。我們在本教學課程中為後續的教學課程奠定基礎,接下來您將會設定並部署規則,然後進行測試與結果分析。
本教學課程使用 AEM WKND Sites 專案示範設定過程。
設定概觀
後續教學課程的基礎準備工作包括以下幾個步驟:
- 在 AEM 專案的
config資料夾中建立規則 - 使用 Adobe Cloud Manager 的設定管線 部署規則。
- 使用 Curl、Vegeta 和 Nikto 等工具 測試規則
- 使用 AEMCS CDN 記錄分析工具 分析結果
在 AEM 專案中建立規則
若要在 AEM 專案中定義 標準 和 WAF 流量篩選器規則,請依照以下步驟操作:
-
在 AEM 專案的頂層建立一個名為
config的資料夾。 -
在
config資料夾中建立一個名為cdn.yaml的檔案。 -
在
cdn.yaml中使用以下的後設資料結構:
kind: "CDN"
version: "1"
metadata:
envTypes: ["dev", "stage", "prod"]
data:
trafficFilters:
rules:
您將在下一個教學課程中,學習如何將 Adobe 建議的標準流量篩選器和 WAF 規則 新增到上述檔案中,為您的實作奠定穩固的基礎。
使用 Adobe Cloud Manager 部署規則
在準備部署規則時,請依照以下步驟操作:
-
登入 my.cloudmanager.adobe.com 並選取您的程式。
-
從「程式概觀」頁面,前往「管線」卡片,然後按一下「+ 新增」以建立新的管線。
-
在管線精靈中:
- 類型:部署管道
- 管道名稱:Dev-Config
-
來源程式碼設定:
- 要部署的程式碼:目標性部署
- 包含:設定
- 部署環境:例如,
wknd-program-dev - 存放庫:Git 存放庫 (例如,
wknd-site) - Git 分支:您的工作分支
- 程式碼位置:
/config
-
審閱管線設定並按一下「儲存」。
您將在 下一個教學課程中,學習如何將管線部署到您的 AEM 環境。
使用工具測試規則
為了測試標準流量篩選器和 WAF 規則的有效性,可以使用各種工具模擬要求並分析規則的回應方式。
請驗證您的本機電腦已安裝以下工具,或依照指示進行安裝:
您可以使用以下命令驗證安裝:
# Curl version check
$ curl --version
# Vegeta version check
$ vegeta -version
# Nikto version check
$ cd <PATH-OF-CLONED-REPO>/program
$ ./nikto.pl -Version
您將在下一個教學課程中,學習如何使用這些工具模擬高要求負載和惡意要求,以測試流量篩選器和 WAF 規則的有效性。
分析結果
若要準備分析結果,請依照以下步驟操作:
-
安裝 AEMCS CDN 記錄分析工具 以使用預先建立的儀表板將模式視覺化並進行分析。
-
透過從 Cloud Manager UI 下載記錄以執行 CDN 記錄攝取。或者,也可以將記錄直接轉寄至支援的託管記錄目標,例如 Splunk 或 Elasticsearch。
AEMCS CDN 記錄分析工具
若要分析流量篩選器和 WAF 規則的結果,可以使用 AEMCS CDN 記錄分析工具。此工具利用透過 AEMCS CDN 所收集的記錄提供預先建立的儀表板,用於將 CDN 流量與 WAF 活動視覺化。
AEMCS CDN 記錄分析工具支援兩個可觀察性平台,即 ELK (Elasticsearch、Logstash、Kibana) 和 Splunk。
可以使用記錄轉寄功能將記錄串流傳輸至託管的 ELK 或 Splunk 記錄服務,並在其中安裝儀表板,將標準流量篩選器和 WAF 流量篩選器規則視覺化並進行分析。然而,對於本教學課程,您將在安裝於電腦上的本機 ELK 執行個體設定儀表板。
-
原地複製 AEMCS-CDN-Log-Analysis-Tooling 存放庫。
-
依照 ELK Docker 容器設定指南在本機安裝和設定 ELK 堆疊。
-
您可以使用 ELK 儀表板探索 IP 要求、封鎖的流量、URI 模式和安全性警報等量度。
CDN 記錄攝取
若要將 CDN 記錄攝取至 ELK 堆疊,請依照以下步驟操作:
-
從 Cloud Manager 的「環境」卡片中,下載 AEMCS Publish 服務的 CDN 記錄。
note tip TIP 新要求可能要花 5 分鐘才會出現在 CDN 記錄中。 -
將下載的記錄檔案 (例如下面螢幕擷圖中的
publish_cdn_2025-06-06.log) 複製到 Elastic 儀表板工具專案的logs/dev資料夾中。
-
重新整理 Elastic 儀表板工具頁面。
-
在上方的「全域篩選器」區段,編輯
aem_env_name.keyword篩選器並選取dev環境值。
-
若要變更時間間隔,按一下右上角的行事曆圖示,然後選取要採用的時間間隔。
-
-
您將在下一個教學課程中,學習如何使用 ELK 堆疊中預先建立的儀表板,分析標準流量篩選器和 WAF 流量篩選器規則的結果。
摘要
您已成功為在 AEM as a Cloud Service 中實作流量篩選器規則 (包括 WAF 規則) 奠定了基礎。您建立了設定檔案結構、部署管線,並準備了用於測試和分析結果的工具。
後續步驟
使用以下教學課程了解如何實作 Adobe 建議的規則:
了解如何使用 Adobe 建議的標準流量篩選器規則,在 AEM as a Cloud Service 中保護 AEM 網站不受 DoS、DDoS 攻擊與機器人濫用的侵害。
了解如何使用 Adobe 建議的 Web 應用程式防火牆 (WAF) 流量篩選器規則,在 AEM as a Cloud Service 中保護網站不受包括 DoS、DDoS 及機器人濫用攻擊等在內的複雜威脅。
進階使用案例
除了 Adobe 建議的標準流量篩選器與 WAF 規則之外,也可以實作進階案例,以達成特定的業務需求。這些案例包括:
