将 Anti-DDo S 托管规则组添加到您的保护包或 Web ACL - Amazon WAF、 Amazon Firewall ManagerAmazon Shield Advanced、和 Amazon Shield 网络安全总监
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

引入全新的主机体验 Amazon WAF

现在,您可以使用更新的体验访问控制台中任意位置的 Amazon WAF 功能。有关更多详细信息,请参阅 使用更新的主机体验

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

将 Anti-DDo S 托管规则组添加到您的保护包或 Web ACL

本节介绍了如何添加和配置 AWSManagedRulesAntiDDoSRuleSet 规则组。

要配置 Anti-DDo S 托管规则组,您需要提供的设置包括规则组对 DDo S 攻击的敏感程度,以及它对参与或可能参与攻击的请求所采取的操作。此配置是对托管规则组的常规配置的补充。

有关规则组描述以及规则和标签列表,请参阅Amazon WAF 分布式拒绝服务 (DDoS) 防护规则组

本指南适用于通常知道如何创建和管理 Amazon WAF 保护包或网络 ACLs、规则和规则组的用户。这些主题将在本指南的前面章节中介绍。有关如何将托管规则组添加到保护包或 Web ACL 的基本信息,请参阅通过控制台将托管规则组添加到保护包或 Web ACL

遵循最佳实践

按照中的最佳做法使用 Anti-DDo S 规则组中智能缓解威胁的最佳实践 Amazon WAF

使用保护包或 Web ACL 中的AWSManagedRulesAntiDDoSRuleSet规则组

  1. 将 Amazon 托管规则组AWSManagedRulesAntiDDoSRuleSet添加到您的保护包或 Web ACL 中,并在保存之前编辑规则组设置。

    注意

    使用此托管规则组时,您需要额外付费。有关更多信息,请参阅Amazon WAF 定价

  2. 规则组配置窗格中,为AWSManagedRulesAntiDDoSRuleSet规则组提供任何自定义配置。

    1. 对于区块敏感度级别,指定在规则组的 DDo S DDoSRequests 可疑标签上匹配时您希望规则的敏感程度。灵敏度越高,规则匹配的标签级别越低:

      • 低灵敏度不那么敏感,导致该规则仅匹配攻击中最明显的参与者,这些参与者具有高度可疑的标签awswaf:managed:aws:anti-ddos:high-suspicion-ddos-request

      • 中等敏感度会使中等和高度可疑标签上的规则相匹配。

      • 高灵敏度会使所有可疑标签上的规则都匹配:低、中和高。

      该规则对涉嫌参与 DDo S 攻击的 Web 请求提供了最严格的处理。

    2. 在 “启用质询” 中,选择是否启用规则ChallengeDDoSRequestsChallengeAllDuringEvent,默认情况下,它们会将Challenge操作应用于匹配的请求。

      这些规则提供了请求处理,旨在允许合法用户继续处理其请求,同时阻止 DDo S 攻击的参与者。您可以将他们的操作设置改为AllowCount或,也可以完全禁用它们的使用。

      如果您启用了这些规则,请提供所需的任何其他配置:

      • 在 “质询敏感度级别” 中,指定您ChallengeDDoSRequests希望规则的敏感程度。

        灵敏度越高,规则匹配的标签级别越低:

        • 低灵敏度不那么敏感,导致该规则仅匹配攻击中最明显的参与者,这些参与者具有高度可疑的标签awswaf:managed:aws:anti-ddos:high-suspicion-ddos-request

        • 中等敏感度会使中等和高度可疑标签上的规则相匹配。

        • 高灵敏度会使所有可疑标签上的规则都匹配:低、中和高。

      • 对于豁免 URI 正则表达式,请提供与无法处理静默浏览器挑战的 Web 请求相匹配 URIs 的正则表达式。该Challenge操作将有效地阻止缺少挑战令牌的请求,除非他们能够处理静默浏览器挑战。 URIs

        只有期望 HTML 内容的客户端才能正确处理该Challenge操作。有关操作工作原理的更多信息,请参阅CAPTCHA 和 Challenge 操作行为

        查看默认正则表达式并根据需要进行更新。这些规则使用指定的正则表达式来识别无法处理Challenge操作的请求 URIs 并阻止规则发送回质询。只有使用该规则的规则组才能阻止以这种方式排除的请求DDoSRequests

        控制台中提供的默认表达式涵盖了大多数用例,但您应根据自己的应用程序对其进行查看和调整。

        Amazon WAF 支持 PCRE 库使用的模式语法,但libpcre有一些例外。该库记录在 PCRE - 与 Perl 兼容的正则表达式中。有关 Amazon WAF 支持的信息,请参阅中支持的正则表达式语法 Amazon WAF

  3. 为规则组提供所需的任何其他配置并保存规则。

    注意

    Amazon 建议不要在此托管规则组中使用范围缩小语句。scope-down 语句限制了规则组观察到的请求,因此可能导致流量基线不准确并减少 DDo S 事件检测。scope-down 语句选项适用于所有托管规则组语句,但不应用于此语句。有关范围缩小语句的信息,请参阅 在中使用范围缩小语句 Amazon WAF

  4. 设置规则优先级页面中,将新的反 DDo S 托管规则组规则向上移动,使其仅在您拥有的任何Allow操作规则之后和任何其他规则之前运行。这使规则组能够跟踪最多的流量以进行反 DDo S 保护。

  5. 保存对保护包或 Web ACL 所做的更改。

在为生产流量部署反 DDo S 实现之前,请在暂存或测试环境中对其进行测试和调整,直到您对流量可能产生的影响感到满意。然后,在启用之前,在计数模式下使用生产流量对规则进行测试和调整。有关指导,请参阅以下部分。