将 Anti-DDo S 托管规则组添加到您的保护包 (Web ACL) - Amazon WAF、 Amazon Firewall Manager Amazon Shield Advanced、和 Amazon Shield 网络安全总监
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

引入全新的主机体验 Amazon WAF

现在,您可以使用更新的体验访问控制台中任意位置的 Amazon WAF 功能。有关更多详细信息,请参阅使用控制台

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

将 Anti-DDo S 托管规则组添加到您的保护包 (Web ACL)

本节介绍了如何添加和配置 AWSManagedRulesAntiDDoSRuleSet 规则组。

要配置 Anti-DDo S 托管规则组,您需要提供的设置包括规则组对 DDo S 攻击的敏感程度,以及它对参与攻击或可能参与攻击的请求所采取的操作。此配置是对托管规则组的常规配置的补充。

有关规则组描述及规则和标签列表,请参阅 Amazon WAF 分布式拒绝服务 (DDoS) 防护规则组

本指南适用于一般了解如何创建和管理 Amazon WAF 保护包 (Web ACLs)、规则和规则组的用户。这些主题将在本指南的前面章节中介绍。有关如何将托管规则组添加到保护包(web ACL)的基本信息,请参阅 通过控制台向保护包(web ACL)添加托管规则组

遵循最佳实践

按照中的最佳做法使用 Anti-DDo S 规则组中智能缓解威胁的最佳实践 Amazon WAF

在保护包(web ACL)中使用 AWSManagedRulesAntiDDoSRuleSet 规则组

  1. 将 Amazon 托管规则组AWSManagedRulesAntiDDoSRuleSet添加到您的保护包(Web ACL)中,并在保存之前编辑规则组设置。

    注意

    使用此托管规则组时,您需要额外付费。有关更多信息,请参阅Amazon WAF 定价

  2. 规则组配置窗格中,为 AWSManagedRulesAntiDDoSRuleSet 规则组提供任何自定义配置。

    1. 对于区块敏感度级别,指定在规则组的 DDo S DDoSRequests 可疑标签上匹配时您希望规则的敏感程度。敏感度越高,规则匹配的标签级别就越低:

      • 低灵敏度意味着规则匹配能力较弱,仅能识别攻击中最明显的参与者,这些参与者具有高度可疑的标签 awswaf:managed:aws:anti-ddos:high-suspicion-ddos-request

      • 中等敏感度会使规则同时匹配中等和高度可疑标签。

      • 高敏感度使规则匹配所有可疑标签:低、中、高。

      此规则对涉嫌参与 DDo S 攻击的 Web 请求提供了最严格的处理。

    2. 启用质询中,选择是否启用规则 ChallengeDDoSRequestsChallengeAllDuringEvent,默认情况下,这些规则会将 Challenge 操作应用于匹配的请求。

      这些规则提供了请求处理,旨在允许合法用户继续处理其请求,同时阻止 DDo S 攻击的参与者。您可以将相关操作设置覆盖为 Allow 或 Count,也可以完全禁用。

      如果要启用这些规则,请提供所需的任何其他配置:

      • 质询敏感度级别中,指定您希望 ChallengeDDoSRequests 规则达到的敏感程度。

        敏感度越高,规则匹配的标签级别就越低:

        • 低灵敏度意味着规则匹配能力较弱,仅能识别攻击中最明显的参与者,这些参与者具有高度可疑的标签 awswaf:managed:aws:anti-ddos:high-suspicion-ddos-request

        • 中等敏感度会使规则同时匹配中等和高度可疑标签。

        • 高敏感度使规则匹配所有可疑标签:低、中、高。

      • 对于豁免 URI 正则表达式,请提供与无法处理静默浏览器挑战的 Web 请求相匹配 URIs 的正则表达式。该Challenge操作将有效地阻止缺少挑战令牌的请求,除非他们能够处理静默浏览器挑战。 URIs

        仅预期接收 HTML 内容的客户端才能正确处理 Challenge 操作。有关操作工作原理的更多信息,请参阅 CAPTCHA 和 Challenge 操作行为

        查看默认的正则表达式,并根据需要对其进行更新。这些规则使用指定的正则表达式来识别无法处理Challenge操作的请求 URIs ,并阻止规则发送回质询。仅使用规则 DDoSRequests 的规则组方可通过此方式阻止排除的请求。

        控制台中提供的默认表达式包含大多数使用案例,但您应根据自己的应用程序对其进行审查和调整。

        Amazon WAF 支持 PCRE 库使用的模式语法,但libpcre有一些例外。该库记录在 PCRE:与 Perl 兼容的正则表达式中。有关 Amazon WAF 支持的信息,请参阅中支持的正则表达式语法 Amazon WAF

  3. 为规则组提供所需的任何其他配置,并保存规则。

    注意

    Amazon 建议不要在此托管规则组中使用范围缩小语句。scope-down 语句限制了规则组观察到的请求,因此可能导致流量基线不准确并减少 DDo S 事件检测。范围缩小语句选项适用于所有托管规则组语句,但不应用于此语句。有关范围缩小语句的信息,请参阅 在中使用范围缩小语句 Amazon WAF

  4. 在 “设置规则优先级” 页面中,将新的反 DDo S 托管规则组规则向上移动,使其仅在您拥有的任何Allow操作规则之后和任何其他规则之前运行。这使规则组能够跟踪最多的流量以进行反 DDo S 防护。

  5. 保存对保护包(web ACL)的更改。

在为生产流量部署反 DDo S 实现之前,请在暂存或测试环境中对其进行测试和调整,直到您对流量可能产生的影响感到满意。然后,在启用之前,在计数模式下使用生产流量对规则进行测试和调整。有关指导,请参阅以下部分。