**推出 的新主控台體驗 AWS WAF** 您現在可以使用更新後的體驗,在主控台的任何位置存取 AWS WAF 功能。如需詳細資訊,請參閱[使用 主控台](https://docs.aws.amazon.com/waf/latest/developerguide/working-with-console.html)。 本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。 # 將 ACFP 受管規則群組新增至 Web ACL 本節說明如何新增和設定`AWSManagedRulesACFPRuleSet`規則群組。 若要設定 ACFP 受管規則群組來辨識 Web 流量中的帳戶建立詐騙活動,您可以提供有關用戶端如何存取您的註冊頁面,以及將帳戶建立請求傳送至應用程式的資訊。對於受保護的 Amazon CloudFront 分佈,您也可以提供應用程式如何回應帳戶建立請求的相關資訊。此組態是受管規則群組的一般組態以外的組態。 如需規則群組描述和規則清單,請參閱 [AWS WAF 詐騙控制帳戶建立詐騙預防 (ACFP) 規則群組](aws-managed-rule-groups-acfp.md)。 **注意** ACFP 遭竊的登入資料資料庫僅包含電子郵件格式的使用者名稱。 本指南適用於通常知道如何建立和管理 AWS WAF 保護套件 (Web ACLs)、規則和規則群組的使用者。這些主題涵蓋在本指南的先前章節中。如需如何將受管規則群組新增至保護套件 (Web ACL) 的基本資訊,請參閱 [透過主控台將受管規則群組新增至保護套件 (Web ACL)](waf-using-managed-rule-group.md)。 **遵循最佳實務** 根據 的最佳實務使用 ACFP 規則群組[中的智慧型威脅防禦最佳實務 AWS WAF](waf-managed-protections-best-practices.md)。 **在保護套件中使用`AWSManagedRulesACFPRuleSet`規則群組 (Web ACL)** 1. 將 AWS 受管規則群組`AWSManagedRulesACFPRuleSet`新增至保護套件 (Web ACL),並在儲存之前**編輯**規則群組設定。 **注意** 當您使用此受管規則群組時,需支付額外費用。如需詳細資訊,請參閱[AWS WAF 定價](https://aws.amazon.com/waf/pricing/)。 1. 在**規則群組組態**窗格中,提供 ACFP 規則群組用來檢查帳戶建立請求的資訊。 1. 對於**在路徑中使用規則運算式**,如果您 AWS WAF 想要為註冊和帳戶建立頁面路徑規格執行規則運算式比對,請開啟此選項。 AWS WAF 支援 PCRE 程式庫使用的模式語法`libpcre`,但有一些例外。程式庫記錄在 [PCRE - Perl 相容規則表達式](http://www.pcre.org/)中。如需 AWS WAF 支援的相關資訊,請參閱 [中支援的規則表達式語法 AWS WAF](waf-regex-pattern-support.md)。 1. 針對**註冊頁面路徑**,提供應用程式的註冊頁面端點路徑。此頁面必須接受`GET`文字/html 請求。規則群組只會檢查對指定註冊頁面端點的 HTTP `GET` text/html 請求。 **注意** 端點比對不區分大小寫。Regex 規格不得包含旗標 `(?-i)`,這會停用不區分大小寫的比對。字串規格必須以正斜線 開頭`/`。 例如,對於 URL `https://example.com/web/registration`,您可以提供字串路徑規格 `/web/registration`。以您提供的路徑開頭的註冊頁面路徑會被視為相符項目。例如, `/web/registration`符合註冊路徑 `/web/registration`、`/web/registration/`、 `/web/registrationPage`和 `/web/registration/thisPage`,但不符合路徑 `/home/web/registration`或 `/website/registration`。 **注意** 確保您的最終使用者在提交帳戶建立請求之前載入註冊頁面。這有助於確保來自用戶端的帳戶建立請求包含有效的字符。 1. 對於**帳戶建立路徑**,請在您的網站中提供接受已完成新使用者詳細資訊的 URI。此 URI 必須接受`POST`請求。 **注意** 端點比對不區分大小寫。Regex 規格不得包含旗標 `(?-i)`,這會停用不區分大小寫的比對。字串規格必須以正斜線 開頭`/`。 例如,對於 URL `https://example.com/web/newaccount`,您可以提供字串路徑規格 `/web/newaccount`。以您提供的路徑開頭的帳戶建立路徑會被視為相符。例如, `/web/newaccount`符合帳戶建立路徑 `/web/newaccount`、`/web/newaccountPage`、 `/web/newaccount/`和 `/web/newaccount/thisPage`,但不符合路徑 `/home/web/newaccount`或 `/website/newaccount`。 1. 針對**請求檢查**,請提供請求承載類型,以及提供使用者名稱、密碼和其他帳戶建立詳細資訊之請求內文中的欄位名稱,以指定應用程式接受帳戶建立嘗試的方式。 **注意** 對於主要地址和電話號碼欄位,請依欄位出現在請求承載中的順序提供欄位。 欄位名稱的規格取決於承載類型。 + **JSON 承載類型** – 以 JSON 指標語法指定欄位名稱。如需有關 JSON Pointer 語法的資訊,請參閱 Internet Engineering Task Force (IETF) 文件 [JavaScript 物件標記法 (JSON) Pointer](https://tools.ietf.org/html/rfc6901)。 例如,對於下列範例 JSON 承載,使用者名稱欄位規格為 `/signupform/username`,主要地址欄位規格為 `/signupform/addrp1`、 `/signupform/addrp2`和 `/signupform/addrp3`。 ``` { "signupform": { "username": "THE_USERNAME", "password": "THE_PASSWORD", "addrp1": "PRIMARY_ADDRESS_LINE_1", "addrp2": "PRIMARY_ADDRESS_LINE_2", "addrp3": "PRIMARY_ADDRESS_LINE_3", "phonepcode": "PRIMARY_PHONE_CODE", "phonepnumber": "PRIMARY_PHONE_NUMBER" } } ``` + **FORM\_ENCODED 承載類型** – 使用 HTML 表單名稱。 例如,對於具有名為 `username1`和 之使用者和密碼輸入元素的 HTML 表單`password1`,使用者名稱欄位規格為 `username1`,密碼欄位規格為 `password1`。 1. 如果您要保護 Amazon CloudFront 分佈,請在**回應檢查**下指定應用程式在回應帳戶建立嘗試時如何表示成功或失敗。 **注意** ACFP 回應檢查僅適用於保護 CloudFront 分佈的保護套件 (Web ACLs)。 在您要 ACFP 檢查的帳戶建立回應中指定單一元件。對於**內文**和 **JSON** 元件類型, AWS WAF 可以檢查元件的前 65,536 個位元組 (64 KB)。 提供元件類型的檢查條件,如 界面所示。您必須同時提供成功和失敗條件,才能在元件中檢查 。 例如,假設您的應用程式在回應的狀態碼中指出帳戶建立嘗試的狀態,並使用 `200 OK` 表示成功和 `401 Unauthorized` 或 `403 Forbidden` 表示失敗。您會將回應檢查**元件類型**設定為**狀態碼**,然後在**成功**文字方塊中輸入 `200`,然後在**失敗**文字方塊中輸入 ,`401`在第一行和第二`403`行中輸入 。 ACFP 規則群組只會計算符合您成功或失敗檢查條件的回應。當用戶端在計數的回應中擁有過高的成功率時,規則群組規則會對用戶端採取行動,以減少大量帳戶建立嘗試。如需規則群組規則的準確行為,請務必提供成功和失敗帳戶建立嘗試的完整資訊。 若要查看檢查帳戶建立回應的規則,請在 `VolumetricSessionSuccessfulResponse` 的規則清單中尋找 `VolumetricIPSuccessfulResponse`和 [AWS WAF 詐騙控制帳戶建立詐騙預防 (ACFP) 規則群組](aws-managed-rule-groups-acfp.md)。 1. 提供您想要用於規則群組的任何其他組態。 您可以將縮小範圍陳述式新增至受管規則群組陳述式,進一步限制規則群組檢查的請求範圍。例如,您只能檢查具有特定查詢引數或 Cookie 的請求。規則群組只會檢查符合您縮小範圍陳述式中條件,並傳送至您在規則群組組態中指定之帳戶註冊和帳戶建立路徑的請求。如需縮小範圍陳述式的資訊,請參閱 [在 中使用縮小範圍陳述式 AWS WAF](waf-rule-scope-down-statements.md)。 1. 將變更儲存至保護套件 (Web ACL)。 在部署生產流量的 ACFP 實作之前,請在預備或測試環境中進行測試和調校,直到您對流量的潛在影響感到滿意為止。然後,使用生產流量在計數模式中測試和調校規則,然後再啟用它們。如需指引,請參閱以下章節。