将反 DDoS 托管规则组添加到您的保护包(web ACL) - Amazon WAF、Amazon Firewall Manager、Amazon Shield Advanced 和 Amazon Shield 网络安全分析器
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

介绍 Amazon WAF 的全新控制台体验

现在,您可以使用更新后的体验访问控制台中任意位置的 Amazon WAF 功能。有关更多详细信息,请参阅 使用更新的控制台体验

将反 DDoS 托管规则组添加到您的保护包(web ACL)

本节介绍了如何添加和配置 AWSManagedRulesAntiDDoSRuleSet 规则组。

要配置反 DDoS 托管规则组,您需要提供设置,包括规则组对 DDoS 攻击的敏感程度,以及规则组对参与攻击或可能参与攻击的请求所采取的操作。此配置是对托管规则组的常规配置的补充。

有关规则组描述及规则和标签列表,请参阅 Amazon WAF 分布式阻断服务(DDoS)防护规则组

本指导适用于大致了解如何创建和管理 Amazon WAF 保护包(web ACL)、规则和规则组的用户。这些主题将在本指南的前面章节中介绍。有关如何将托管规则组添加到保护包(web ACL)的基本信息,请参阅 通过控制台向保护包(web ACL)添加托管规则组

遵循最佳实践

按照 Amazon WAF 中的智能威胁缓解最佳实践 中的最佳实践使用反 DDoS 规则组。

在保护包(web ACL)中使用 AWSManagedRulesAntiDDoSRuleSet 规则组

  1. 将 Amazon 托管规则组 AWSManagedRulesAntiDDoSRuleSet 添加到您的保护包(web ACL)中,然后在保存之前编辑规则组设置。

    注意

    使用此托管规则组时,您需要额外付费。有关更多信息,请参阅 Amazon WAF 定价

  2. 规则组配置窗格中,为 AWSManagedRulesAntiDDoSRuleSet 规则组提供任何自定义配置。

    1. 对于阻断敏感度级别,指定 DDoSRequests 规则在匹配规则组的 DDoS 可疑标签时所需的敏感程度。敏感度越高,规则匹配的标签级别就越低:

      • 低灵敏度意味着规则匹配能力较弱,仅能识别攻击中最明显的参与者,这些参与者具有高度可疑的标签 awswaf:managed:aws:anti-ddos:high-suspicion-ddos-request

      • 中等敏感度会使规则同时匹配中等和高度可疑标签。

      • 高敏感度使规则匹配所有可疑标签:低、中、高。

      该规则对涉嫌参与 DDoS 攻击的 web 请求实施最严格的处理。

    2. 启用质询中,选择是否启用规则 ChallengeDDoSRequestsChallengeAllDuringEvent,默认情况下,这些规则会将 Challenge 操作应用于匹配的请求。

      这些规则旨在处理请求,允许合法用户继续其请求,同时阻止 DDoS 攻击的参与者。您可以将相关操作设置覆盖为 Allow 或 Count,也可以完全禁用。

      如果要启用这些规则,请提供所需的任何其他配置:

      • 质询敏感度级别中,指定您希望 ChallengeDDoSRequests 规则达到的敏感程度。

        敏感度越高,规则匹配的标签级别就越低:

        • 低灵敏度意味着规则匹配能力较弱,仅能识别攻击中最明显的参与者,这些参与者具有高度可疑的标签 awswaf:managed:aws:anti-ddos:high-suspicion-ddos-request

        • 中等敏感度会使规则同时匹配中等和高度可疑标签。

        • 高敏感度使规则匹配所有可疑标签:低、中、高。

      • 对于豁免 URI 正则表达式,请提供一个正则表达式,用于匹配无法处理静默浏览器质询的 web 请求 URI。Challenge 操作将有效阻止缺少质询令牌的 URI 请求,除非这些请求能够处理静默浏览器质询。

        仅预期接收 HTML 内容的客户端才能正确处理 Challenge 操作。有关操作工作原理的更多信息,请参阅 CAPTCHA 和 Challenge 操作行为

        查看默认的正则表达式,并根据需要对其进行更新。这些规则使用指定的正则表达式,以识别无法处理 Challenge 操作的请求 URI,并防止规则发送回质询。仅使用规则 DDoSRequests 的规则组方可通过此方式阻止排除的请求。

        控制台中提供的默认表达式包含大多数使用案例,但您应根据自己的应用程序对其进行审查和调整。

        Amazon WAF 支持 PCRE 库 libpcre 使用的模式语法,但有一些例外情况。该库记录在 PCRE - 与 Perl 兼容的正则表达式中。有关 Amazon WAF 支持的信息,请参阅 Amazon WAF 中支持的正则表达式语法

  3. 为规则组提供所需的任何其他配置,并保存规则。

    注意

    Amazon 建议不要对此托管规则组使用范围缩小语句。范围缩小语句会限制规则组观察到的请求,因此可能导致流量基准不准确,并降低 DDoS 事件检测能力。范围缩小语句选项适用于所有托管规则组语句,但不应用于此语句。有关范围缩小语句的信息,请参阅 在 Amazon WAF 中使用范围缩小语句

  4. 设置规则优先级页面中,上移新的反 DDoS 托管规则组规则,使其仅在您已有的任何 Allow 操作规则之后和任何其他规则之前运行。这使规则组能够跟踪反 DDoS 防护中流量最大的部分。

  5. 保存对保护包(web ACL)的更改。

在为生产流量部署反 DDoS 实施之前,请在暂存或测试环境中对其进行测试和调整,直到您对流量可能产生的影响感到满意。然后,在启用之前,在计数模式下使用生产流量对规则进行测试和调整。有关指导,请参阅以下部分。