View a markdown version of this page

测试和部署 Anti-DDo S - Amazon WAF、 Amazon Firewall Manager Amazon Shield Advanced、和 Amazon Shield 网络安全总监
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

引入全新的主机体验 Amazon WAF

现在,您可以使用更新的体验访问控制台中任意位置的 Amazon WAF 功能。有关更多详细信息,请参阅使用控制台

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

测试和部署 Anti-DDo S

在部署 Amazon WAF 分布式拒绝服务 (DDoS) 防护功能之前,您需要配置和测试该功能。本节提供配置和测试的一般性指导,但您选择遵循的具体步骤将取决于您的需求、资源和收到的 web 请求。

此信息是对 测试和调整您的 Amazon WAF 保护措施 中提供的有关测试和调整的一般信息的补充。

注意

Amazon 托管规则旨在保护您免受常见 Web 威胁的侵害。根据文档使用 Amazon 托管规则组时,可以为您的应用程序增加另一层安全保护。但是, Amazon 托管规则规则组并不是用来取代您的安全职责,后者由您选择的 Amazon 资源决定。请参阅分担责任模型,确保您的资源 Amazon 得到适当保护。

生产流量风险

在试运行或测试环境中测试和调整您的反 DDo S实现,直到您对流量可能产生的影响感到满意。然后,在启用之前,在计数模式下使用生产流量对规则进行测试和调整。

本指南适用于一般了解如何创建和管理 Amazon WAF 保护包 (Web ACLs)、规则和规则组的用户。这些主题将在本指南的前面章节中介绍。

配置和测试 Amazon WAF 分布式拒绝服务 (DDoS) 防护实现

首先在测试环境中执行这些步骤,然后在生产环境中执行这些步骤。

  1. 在计数模式下添加 Amazon WAF 分布式拒绝服务 (DDoS) 防护托管规则组
    注意

    使用此托管规则组时,您需要额外付费。有关更多信息,请参阅Amazon WAF 定价

    将 Amazon 托管规则组AWSManagedRulesAntiDDoSRuleSet添加到新的或现有的保护包 (Web ACL) 中,并对其进行配置,使其不会改变当前保护包 (Web ACL) 的行为。有关此规则组的规则和标签的详细信息,请参阅 Amazon WAF 分布式拒绝服务 (DDoS) 防护规则组

    • 添加托管规则组时,对其进行编辑并执行以下操作:

      • 规则组配置窗格中,提供对 Web 流量执行反 DDo S 活动所需的详细信息。有关更多信息,请参阅 将 Anti-DDo S 托管规则组添加到您的保护包 (Web ACL)

      • 规则窗格中,打开覆盖所有规则操作下拉列表并选择 Count。使用此配置, Amazon WAF 可以根据规则组中的所有规则评估请求,并仅计算结果的匹配项,同时仍将标签添加到请求中。有关更多信息,请参阅 覆盖规则组的规则操作

        使用此替换,您可以监视 Anti-DDo S 托管规则的潜在影响,以确定是否要进行修改,例如扩展无法处理静默浏览器挑战 URIs 的正则表达式。

    • 定位规则组,以便在任何允许流量的规则之后尽早对规则组进行评估。规则按数字优先级的升序顺序进行评估。控制台将按规则列表的顺序为您执行操作,从列表顶部开始。有关更多信息,请参阅 设置规则优先级

  2. 为保护包(web ACL)启用日志记录和指标

    根据需要,为保护包(Web ACL)配置日志、Amazon Security Lake 数据收集、请求采样和亚马逊 CloudWatch 指标。您可以使用这些可见性工具来监控 Anti-DDo S 托管规则组与您的流量的交互情况。

  3. 将保护包(web ACL)与资源关联

    如果保护包(web ACL)尚未与测试资源关联,请将其关联。有关信息,请参阅将保护与资源关联或取消关联 Amazon

  4. 监控流量和 Anti-DDo S 规则匹配情况

    确保您的正常流量畅通,并且 Anti-DDo S 托管规则组规则正在为匹配的 Web 请求添加标签。您可以在日志中看到标签,也可以在 Amazon 指标中查看 Anti-DDo S 和标签 CloudWatch 指标。在日志中,您在规则组中覆盖计数的规则会显示在 ruleGroupList 中,action 设置为计数,overriddenAction 表示您覆盖的已配置规则操作。

  5. 自定义 Ant DDo i-S Web 请求处理

    根据需要,添加您自己的明确允许或阻止请求的规则,以更改 Anti-DDo S 规则处理请求的方式。

    例如,您可以使用 Anti-DDo S 标签来允许或阻止请求或自定义请求处理。您可以在 Anti-DDo S 托管规则组之后添加标签匹配规则,以筛选要应用的处理的已标记请求。测试后,将相关的 Anti-DDo S 规则保持在计数模式,并在自定义规则中维护请求处理决策。

  6. 移除测试规则并配置 Anti-DDo S 设置

    查看您的测试结果,以确定您希望将哪些 Anti-DDo S 规则保留在计数模式下仅用于监控。对于任何需要启用主动保护的规则,请在保护包(web ACL)规则组配置中禁用计数模式,以便这些规则能够执行其配置的操作。完成这些设置后,请移除所有临时测试标签匹配规则,同时保留为生产用途创建的所有自定义规则。有关其他 Ant DDo i-S 配置注意事项,请参阅中智能缓解威胁的最佳实践 Amazon WAF

  7. 监控和调整

    为确保 Web 请求得到您想要的处理,请在启用您打算使用的 Anti-DDo S 功能后密切监控您的流量。根据需要调整行为,使用规则组上的规则计数覆盖和您自己的规则。