**引入全新的主机体验 Amazon WAF** 现在,您可以使用更新的体验访问控制台中任意位置的 Amazon WAF 功能。有关更多详细信息,请参阅[使用控制台](https://docs.amazonaws.cn/waf/latest/developerguide/working-with-console.html)。 本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。 # 将 Anti-DDo S 托管规则组添加到您的保护包 (Web ACL) 本节介绍了如何添加和配置 `AWSManagedRulesAntiDDoSRuleSet` 规则组。 要配置 Anti-DDo S 托管规则组,您需要提供的设置包括规则组对 DDo S 攻击的敏感程度,以及它对参与攻击或可能参与攻击的请求所采取的操作。此配置是对托管规则组的常规配置的补充。 有关规则组描述及规则和标签列表,请参阅 [Amazon WAF 分布式拒绝服务 (DDoS) 防护规则组](aws-managed-rule-groups-anti-ddos.md)。 本指南适用于一般了解如何创建和管理 Amazon WAF 保护包 (Web ACLs)、规则和规则组的用户。这些主题将在本指南的前面章节中介绍。有关如何将托管规则组添加到保护包(web ACL)的基本信息,请参阅 [通过控制台向保护包(web ACL)添加托管规则组](waf-using-managed-rule-group.md)。 **遵循最佳实践** 按照中的最佳做法使用 Anti-DDo S 规则组[中智能缓解威胁的最佳实践 Amazon WAF](waf-managed-protections-best-practices.md)。 **在保护包(web ACL)中使用 `AWSManagedRulesAntiDDoSRuleSet` 规则组** 1. 将 Amazon 托管规则组`AWSManagedRulesAntiDDoSRuleSet`添加到您的保护包(Web ACL)中,并在保存之前**编辑**规则组设置。 **注意** 使用此托管规则组时,您需要额外付费。有关更多信息,请参阅[Amazon WAF 定价](https://www.amazonaws.cn/waf/pricing/)。 1. 在**规则组配置**窗格中,为 `AWSManagedRulesAntiDDoSRuleSet` 规则组提供任何自定义配置。 1. 对于**区块敏感度级别**,指定在规则组的 DDo S `DDoSRequests` 可疑标签上匹配时您希望规则的敏感程度。敏感度越高,规则匹配的标签级别就越低: + 低灵敏度意味着规则匹配能力较弱,仅能识别攻击中最明显的参与者,这些参与者具有高度可疑的标签 `awswaf:managed:aws:anti-ddos:high-suspicion-ddos-request`。 + 中等敏感度会使规则同时匹配中等和高度可疑标签。 + 高敏感度使规则匹配所有可疑标签:低、中、高。 此规则对涉嫌参与 DDo S 攻击的 Web 请求提供了最严格的处理。 1. 在**启用质询**中,选择是否启用规则 `ChallengeDDoSRequests` 和 `ChallengeAllDuringEvent`,默认情况下,这些规则会将 Challenge 操作应用于匹配的请求。 这些规则提供了请求处理,旨在允许合法用户继续处理其请求,同时阻止 DDo S 攻击的参与者。您可以将相关操作设置覆盖为 Allow 或 Count,也可以完全禁用。 如果要启用这些规则,请提供所需的任何其他配置: + 在**质询敏感度级别**中,指定您希望 `ChallengeDDoSRequests` 规则达到的敏感程度。 敏感度越高,规则匹配的标签级别就越低: + 低灵敏度意味着规则匹配能力较弱,仅能识别攻击中最明显的参与者,这些参与者具有高度可疑的标签 `awswaf:managed:aws:anti-ddos:high-suspicion-ddos-request`。 + 中等敏感度会使规则同时匹配中等和高度可疑标签。 + 高敏感度使规则匹配所有可疑标签:低、中、高。 + 对于**豁免 URI 正则表达式**,请提供与无法处理静默浏览器挑战的 Web 请求相匹配 URIs 的正则表达式。该Challenge操作将有效地阻止缺少挑战令牌的请求,除非他们能够处理静默浏览器挑战。 URIs 仅预期接收 HTML 内容的客户端才能正确处理 Challenge 操作。有关操作工作原理的更多信息,请参阅 [CAPTCHA 和 Challenge 操作行为](waf-captcha-and-challenge-actions.md)。 查看默认的正则表达式,并根据需要对其进行更新。这些规则使用指定的正则表达式来识别无法处理Challenge操作的请求 URIs ,并阻止规则发送回质询。仅使用规则 `DDoSRequests` 的规则组方可通过此方式阻止排除的请求。 控制台中提供的默认表达式包含大多数使用案例,但您应根据自己的应用程序对其进行审查和调整。 Amazon WAF 支持 PCRE 库使用的模式语法,但`libpcre`有一些例外。该库记录在 [PCRE:与 Perl 兼容的正则表达式](http://www.pcre.org/)中。有关 Amazon WAF 支持的信息,请参阅[中支持的正则表达式语法 Amazon WAF](waf-regex-pattern-support.md)。 1. 为规则组提供所需的任何其他配置,并保存规则。 **注意** Amazon 建议不要在此托管规则组中使用范围缩小语句。scope-down 语句限制了规则组观察到的请求,因此可能导致流量基线不准确并减少 DDo S 事件检测。范围缩小语句选项适用于所有托管规则组语句,但不应用于此语句。有关范围缩小语句的信息,请参阅 [在中使用范围缩小语句 Amazon WAF](waf-rule-scope-down-statements.md)。 1. 在 “**设置规则优先级**” 页面中,将新的反 DDo S 托管规则组规则向上移动,使其仅在您拥有的任何Allow操作规则之后和任何其他规则之前运行。这使规则组能够跟踪最多的流量以进行反 DDo S 防护。 1. 保存对保护包(web ACL)的更改。 在为生产流量部署反 DDo S 实现之前,请在暂存或测试环境中对其进行测试和调整,直到您对流量可能产生的影响感到满意。然后,在启用之前,在计数模式下使用生产流量对规则进行测试和调整。有关指导,请参阅以下部分。