测试和部署反 DDoS

配置和测试 Amazon WAF 分布式阻断服务（DDoS）防护实施

首先在测试环境中执行这些步骤，然后在生产环境中执行这些步骤。

1. 在计数模式下，添加 Amazon WAF 分布式阻断服务（DDoS）防护托管规则组

   注意

   使用此托管规则组时，您需要额外付费。有关更多信息，请参阅 Amazon WAF 定价。

   将 Amazon 托管规则组 AWSManagedRulesAntiDDoSRuleSet 添加到新的或现有的保护包（web ACL）中，并对其进行配置，使其不会改变当前保护包（web ACL）的行为。有关此规则组的规则和标签的详细信息，请参阅 Amazon WAF 分布式阻断服务（DDoS）防护规则组。

   • 添加托管规则组时，对其进行编辑并执行以下操作：

     • 在规则组配置窗格中，提供对 web 流量执行反 DDoS 活动所需的详细信息。有关更多信息，请参阅 将反 DDoS 托管规则组添加到您的保护包（web ACL）。

     • 在规则窗格中，打开覆盖所有规则操作下拉列表并选择 Count。使用此配置，Amazon WAF 可以根据规则组中的所有规则评估请求，并仅计算结果的匹配项，同时仍将标签添加到请求中。有关更多信息，请参阅 覆盖规则组的规则操作。

       通过此覆盖，您可以监控反 DDoS 托管规则的潜在影响，以确定是否要进行修改，例如扩展正则表达式以处理无法应对静默浏览器质询的 URI。

   • 定位规则组，以便在任何允许流量的规则之后尽早对规则组进行评估。规则按数字优先级的升序顺序进行评估。控制台将按规则列表的顺序为您执行操作，从列表顶部开始。有关更多信息，请参阅 设置规则优先级。

2. 为保护包（web ACL）启用日志记录和指标

   根据需要为保护包（web ACL）配置日志记录、Amazon Security Lake 数据收集、请求采样和 Amazon CloudWatch 指标。您可以使用这些可见性工具，以监控反 DDoS 托管规则组与流量的交互情况。

   • 有关配置和使用日志记录的信息，请参阅 Amazon WAF 保护包（web ACL）流量日志记录。

   • 有关 Amazon Security Lake 的信息，请参阅《Amazon Security Lake 用户指南》中的什么是 Amazon Security Lake 以及从 Amazon 服务中收集数据。

   • 有关 Amazon CloudWatch 指标的更多信息，请参阅 使用 Amazon CloudWatch 监控。

   • 有关 web 请求采样的信息，请参阅 查看 web 请求示例。

3. 将保护包（web ACL）与资源关联

   如果保护包（web ACL）尚未与测试资源关联，请将其关联。有关信息，请参阅 将保护与 Amazon 资源关联或取消关联。

4. 监控流量和反 DDoS 规则匹配情况

   确保您的正常流量畅通，并且反 DDoS 托管规则组规则正在为匹配的 web 请求添加标签。您可以在日志中看到标签，也可以在 Amazon CloudWatch 指标中查看反 DDoS 和标签指标。在日志中，您在规则组中覆盖计数的规则会显示在 ruleGroupList 中，action 设置为计数，overriddenAction 表示您覆盖的已配置规则操作。

5. 自定义反 DDoS web 请求处理

   根据需要，添加您自己的明确允许或阻止请求的规则，以更改反 DDoS 规则处理请求的方式。

   例如，您可以使用反 DDoS 标签，以允许或阻止请求或自定义请求处理。您可以在反 DDoS 托管规则组之后添加标签匹配规则，以筛选要应用的处理的带标签的请求。测试后，将相关的反 DDoS 规则保持在计数模式，并在自定义规则中维护请求处理决策。

6. 移除测试规则并配置反 DDoS 设置

   查看您的测试结果，确定您希望将哪些反 DDoS 规则保留在计数模式下仅用于监控。对于任何需要启用主动保护的规则，请在保护包（web ACL）规则组配置中禁用计数模式，以便这些规则能够执行其配置的操作。完成这些设置后，请移除所有临时测试标签匹配规则，同时保留为生产用途创建的所有自定义规则。有关反 DDoS 配置的其他注意事项，请参阅 Amazon WAF 中的智能威胁缓解最佳实践。

7. 监控和调整

   为确保 web 请求按您的意愿处理，请在启用要使用的反 DDoS 功能后密切监控您的流量。根据需要调整行为，使用规则组上的规则计数覆盖和您自己的规则。