**에 대한 새로운 콘솔 환경 소개 AWS WAF** 이제 업데이트된 환경을 사용하여 콘솔의 모든 위치에서 AWS WAF 기능에 액세스할 수 있습니다. 자세한 내용은 [콘솔 작업을 참조하세요](https://docs.aws.amazon.com/waf/latest/developerguide/working-with-console.html). 기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다. # 의 지능형 위협 완화 모범 사례 AWS WAF 이 섹션의 모범 사례를 따르면 지능형 위협 완화 기능을 가장 효율적이고 비용 효율적으로 구현할 수 있습니다. + **JavaScript 및 모바일 애플리케이션 통합 SDK** 구현 — ACFP, ATP 또는 봇 컨트롤 기능의 전체 집합을 가능한 가장 효과적인 방법으로 사용할 수 있도록 애플리케이션 통합을 구현합니다. 관리형 규칙 그룹은 SDK에서 제공하는 토큰을 사용하여 세션 수준에서 합법적인 클라이언트 트래픽을 바람직하지 않은 트래픽과 분리합니다. 애플리케이션 통합 SDK에서는 이러한 토큰을 항상 사용할 수 있습니다. 세부 정보는 다음을 참조하세요. + [ACFP와 함께 애플리케이션 통합 SDK 사용](waf-acfp-with-tokens.md) + [ATP와 함께 애플리케이션 통합 SDK 사용](waf-atp-with-tokens.md) + [봇 컨트롤과 함께 애플리케이션 통합 SDK 사용](waf-bot-with-tokens.md) 통합을 사용하여 클라이언트에서 챌린지를 구현하고 JavaScript의 경우 최종 사용자에게 CAPTCHA 퍼즐을 제시하는 방식을 사용자 지정할 수 있습니다. 자세한 내용은 [의 클라이언트 애플리케이션 통합 AWS WAF](waf-application-integration.md)을 참조하세요. JavaScript API를 사용하여 CAPTCHA 퍼즐을 사용자 지정하고 보호 팩(웹 ACL)의 모든 곳에서 CAPTCHA 규칙 작업을 사용하는 경우의 클라이언트에서 AWS WAF CAPTCHA 응답을 처리하기 위한 지침을 따릅니다[에서 CAPTCHA 응답 처리 AWS WAF](waf-js-captcha-api-conditional.md). 이 지침은 ACFP 관리형 규칙 그룹의 규칙과 봇 컨트롤 관리형 규칙 그룹의 대상 보호 수준을 포함하여 CAPTCHA 작업을 사용하는 모든 규칙에 적용됩니다. + **ACFP, ATP 및 Bot Control 규칙 그룹에 보내는 요청 제한** - 지능형 위협 완화 AWS 관리형 규칙 그룹을 사용하면 추가 요금이 발생합니다. ACFP 규칙 그룹은 사용자가 지정한 계정 등록 및 생성 엔드포인트에 대한 요청을 검사합니다. ATP 규칙 그룹은 사용자가 지정한 로그인 엔드포인트에 대한 요청을 검사합니다. 봇 컨트롤 규칙 그룹은 보호 팩(웹 ACL) 평가에서 로그인 엔드포인트에 도달한 모든 요청을 검사합니다. 이러한 규칙 그룹의 사용을 줄이려면 다음과 같은 방법을 고려하십시오. + 관리형 규칙 그룹 문에서 범위 축소 문을 사용하여 검사에서 요청을 제외하십시오. 모든 중첩 가능한 명령문을 사용하여 이 작업을 수행할 수 있습니다. 자세한 내용은 [에서 범위 축소 문 사용 AWS WAF](waf-rule-scope-down-statements.md) 단원을 참조하세요. + 규칙 그룹 앞에 규칙을 추가하여 검사에서 요청을 제외시킵니다. 범위 축소 문에 사용할 수 없는 규칙의 경우, 그리고 레이블 지정 후 레이블 일치와 같은 좀 더 복잡한 상황의 경우 규칙 그룹보다 먼저 실행되는 규칙을 추가할 수 있습니다. 자세한 내용은 [에서 범위 축소 문 사용 AWS WAF](waf-rule-scope-down-statements.md) 및 [에서 규칙 문 사용 AWS WAF](waf-rule-statements.md) 섹션을 참조하세요. + 비용이 더 저렴한 규칙 이후에 규칙 그룹을 실행합니다. 어떤 이유로든 요청을 차단하는 다른 표준 AWS WAF 규칙이 있는 경우 이러한 유료 규칙 그룹보다 먼저 실행합니다. 규칙 및 규칙 관리에 대한 자세한 내용은 [에서 규칙 문 사용 AWS WAF](waf-rule-statements.md) 섹션을 참조하세요. + 지능형 위협 완화 관리형 규칙 그룹을 두 개 이상 사용하는 경우 비용을 낮추려면 봇 컨트롤, ATP, ACFP 순으로 실행합니다. 자세한 요금 정보는 [AWS WAF 요금](https://aws.amazon.com/waf/pricing/)을 참조하세요. + **Anti-DDoS 규칙 그룹에 보내는 요청 제한 금지** - 이 규칙 그룹은 명시적으로 허용하지 않는 모든 웹 트래픽을 모니터링하도록 구성하는 경우에 가장 잘 작동합니다. Allow 규칙 작업이 포함된 규칙 다음에만 평가되고 다른 모든 규칙보다 먼저 평가되도록 웹 ACL에 배치합니다. + **분산 서비스 거부(DDoS) 보호의 경우 Anti-DDoS 또는 Shield Advanced 자동 애플리케이션 계층 DDoS 완화 사용** - 다른 지능형 위협 완화 규칙 그룹은 DDoS 보호를 제공하지 않습니다. ACFP는 애플리케이션 가입 페이지에 대한 사기 계정 생성 시도로부터 보호합니다. ATP는 로그인 페이지에 대한 계정 탈취 시도로부터 보호합니다. 봇 컨트롤은 토큰을 사용하여 사람과 유사한 액세스 패턴을 적용하고 클라이언트 세션에 동적 속도 제한을 적용하는 데 중점을 둡니다. Anti-DDoS를 사용하면 DDoS 공격을 모니터링하고 제어할 수 있으므로 위협에 대해 신속하게 대응하고 완화할 수 있습니다. 자동 애플리케이션 계층 DDoS 완화 기능을 갖춘 Shield Advanced는 사용자를 대신하여 사용자 지정 AWS WAF 완화 기능을 생성, 평가 및 배포하여 탐지된 DDoS 공격에 자동으로 대응합니다. Shield Advanced에 대한 자세한 내용은 [AWS Shield Advanced 개요](ddos-advanced-summary.md) 및 [AWS Shield Advanced 및를 사용하여 애플리케이션 계층(계층 7) 보호 AWS WAF](ddos-app-layer-protections.md) 섹션을 참조하세요. 분산 서비스 거부(DDoS) 방지에 대한 자세한 내용은 [DDoS 방지 규칙 그룹](aws-managed-rule-groups-anti-ddos.md) 및 [분산 서비스 거부(DDoS) 방지](waf-anti-ddos.md) 섹션을 참조하세요. + **정상적인 웹 트래픽 중에 봇 컨트롤 규칙 그룹의 Anti-DDoS 규칙 그룹 및 대상 보호 수준 활성화** - 이러한 규칙 범주는 정상 트래픽의 기준을 설정하는 데 시간이 필요합니다. **정상적인 웹 트래픽 중 봇 컨트롤 규칙 그룹의 표적 보호 수준 활성화** — 대상 보호 수준의 일부 규칙은 불규칙하거나 악의적인 트래픽 패턴을 인식하고 이에 대응하기 전에 정상적인 트래픽 패턴의 기준을 설정하는 데 시간이 필요합니다. 예를 들어, `TGT_ML_*` 규칙을 워밍업하려면 최대 24시간이 필요합니다. 공격이 발생하지 않을 때 이러한 보호 기능을 추가하고 적절하게 대응할 것으로 예상하기 전에 보호의 기준이 설정될 때까지 기다립니다. 공격 중에 이러한 규칙을 추가하는 경우 개수 모드에서 Anti-DDoS 규칙 그룹을 활성화해야 합니다. 공격이 진정된 후 공격 트래픽으로 인한 왜곡이 가중되므로 일반적으로 기준을 설정하는 데 정상 소요 시간의 2배\$13배가 걸리게 됩니다. 규칙 및 규칙에 필요한 준비 시간에 대한 자세한 내용은 [규칙 목록](aws-managed-rule-groups-bot.md#aws-managed-rule-groups-bot-rules) 섹션을 참조하세요. + **분산 서비스 거부 (DDoS) 방어의 경우 Shield Advanced 자동 애플리케이션 계층 DDoS 완화 사용** - 지능형 위협 완화 규칙 그룹은 DDoS 보호를 제공하지 않습니다. ACFP는 애플리케이션 가입 페이지에 대한 사기 계정 생성 시도로부터 보호합니다. ATP는 로그인 페이지에 대한 계정 탈취 시도로부터 보호합니다. 봇 컨트롤은 토큰을 사용하여 사람과 유사한 액세스 패턴을 적용하고 클라이언트 세션에 동적 속도 제한을 적용하는 데 중점을 둡니다. 자동 애플리케이션 계층 DDoS 완화가 활성화된 상태에서 Shield Advanced를 사용하면 Shield Advanced는 사용자를 대신하여 사용자 지정 AWS WAF 완화를 생성, 평가 및 배포하여 탐지된 DDoS 공격에 자동으로 대응합니다. Shield Advanced에 대한 자세한 내용은 [AWS Shield Advanced 개요](ddos-advanced-summary.md) 및 [AWS Shield Advanced 및를 사용하여 애플리케이션 계층(계층 7) 보호 AWS WAF](ddos-app-layer-protections.md) 섹션을 참조하세요. + **Anti-DDoS 규칙 그룹의 기준을 설정할 때 프로덕션 트래픽 부하 사용** - 인공 테스트 트래픽을 사용하여 다른 규칙 그룹을 테스트하는 것이 일반적입니다. 그러나 Anti-DDoS 규칙 그룹의 기준을 테스트하고 설정할 때는 프로덕션 환경의 부하를 반영하는 트래픽 흐름을 사용하는 것이 좋습니다. 일반적인 트래픽을 사용하여 Anti-DDoS 기준을 설정하는 것이 프로덕션 환경에서 규칙 그룹을 활성화할 때 리소스를 보호할 수 있는 가장 좋은 방법입니다. + **토큰 처리 조정 및 구성** - 최상의 사용자 환경을 제공할 수 있도록 보호 팩(웹 ACL)의 토큰 처리를 조정합니다. + 운영 비용을 줄이고 최종 사용자 환경을 개선하려면 토큰 관리 면제 시간을 보안 요구 사항이 허용하는 최장 시간으로 조정합니다. 이를 통해 CAPTCHA 퍼즐과 자동 챌린지 사용을 최소화할 수 있습니다. 자세한 내용은 [에서 타임스탬프 만료 및 토큰 면제 시간 설정 AWS WAF](waf-tokens-immunity-times.md) 단원을 참조하세요. + 보호된 애플리케이션 간에 토큰을 공유할 수 있도록 활성화하려면 보호 팩(웹 ACL)의 토큰 도메인 목록을 구성합니다. 자세한 내용은 [에서 토큰 도메인 및 도메인 목록 지정 AWS WAF](waf-tokens-domains.md) 단원을 참조하세요. + **임의 호스트 사양을 포함하는 요청 거부** - 웹 요청의 `Host` 헤더와 대상 리소스 간 일치가 필수 조건이 되도록 보호된 리소스를 구성하십시오. 단일 값 또는 특정 값 집합(예: `myExampleHost.com` 및) 는 허용할 수 있지만 `www.myExampleHost.com` 호스트에 대해 임의의 값은 수락하지 마십시오. + **CloudFront 배포의 오리진인 Application Load Balancer의 경우 적절한 토큰 처리를 AWS WAF 위해 CloudFront 및를 구성합니다**. 보호 팩(웹 ACL)을 Application Load Balancer에 연결하고 Application Load Balancer를 CloudFront 배포의 오리진으로 배포하는 경우 섹션을 참조하세요[CloudFront 오리진인 Application Load Balancer에 필요한 구성](waf-tokens-with-alb-and-cf.md). + **배포 전 테스트 및 조정** - 보호 팩(웹 ACL)에 변경 사항을 구현하기 전에 이 안내서의 테스트 및 조정 절차에 따라 예상대로 작동하는지 확인합니다. 이 점은 이러한 유료 기능의 경우 특히 중요합니다. 일반적인 지침은 [AWS WAF 보호 기능 테스트 및 튜닝](web-acl-testing.md) 섹션을 참조하세요. 유료 관리형 규칙 그룹과 관련된 자세한 내용은 [ACFP 테스트 및 배포](waf-acfp-deploying.md), [ATP 테스트 및 배포](waf-atp-deploying.md) 및 [AWS WAF Bot Control 테스트 및 배포](waf-bot-control-deploying.md) 섹션을 참조하세요.