Hinzufügen der verwalteten DDo Anti-S-Regelgruppe zu Ihrem Protection Pack oder Ihrer Web-ACL - AWS WAF, AWS Firewall ManagerAWS Shield Advanced, und Direktor für AWS Shield Netzwerksicherheit

Wir stellen vor: ein neues Konsolenerlebnis für AWS WAF

Sie können das aktualisierte Erlebnis jetzt verwenden, um überall in der Konsole auf AWS WAF Funktionen zuzugreifen. Weitere Details finden Sie unter Arbeiten mit der aktualisierten Konsolenerfahrung.

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Hinzufügen der verwalteten DDo Anti-S-Regelgruppe zu Ihrem Protection Pack oder Ihrer Web-ACL

In diesem Abschnitt wird erklärt, wie Sie die AWSManagedRulesAntiDDoSRuleSet Regelgruppe hinzufügen und konfigurieren.

Um die verwaltete DDo Anti-S-Regelgruppe zu konfigurieren, geben Sie Einstellungen an, die angeben, wie empfindlich die Regelgruppe gegenüber DDo S-Angriffen ist und welche Aktionen sie bei Anfragen ergreift, die an den Angriffen beteiligt sind oder sein könnten. Diese Konfiguration gilt zusätzlich zur normalen Konfiguration für eine verwaltete Regelgruppe.

Eine Beschreibung der Regelgruppe und die Liste der Regeln und Bezeichnungen finden Sie unterAWS WAF Regelgruppe zur Verhinderung von Distributed Denial of Service (DDoS).

Diese Anleitung richtet sich an Benutzer, die allgemein wissen, wie man AWS WAF Schutzpakete oder Web- ACLs, Regeln- und Regelgruppen erstellt und verwaltet. Diese Themen werden in früheren Abschnitten dieses Handbuchs behandelt. Grundlegende Informationen zum Hinzufügen einer verwalteten Regelgruppe zu Ihrem Protection Pack oder Ihrer Web-ACL finden Sie unterHinzufügen einer verwalteten Regelgruppe zu einem Protection Pack oder einer Web-ACL über die Konsole.

Folgen Sie den bewährten Methoden

Verwenden Sie die DDo Anti-S-Regelgruppe gemäß den bewährten Verfahren unterBewährte Methoden für intelligente Bedrohungsabwehr in AWS WAF.

Um die AWSManagedRulesAntiDDoSRuleSet Regelgruppe in Ihrem Protection Pack oder Ihrer Web-ACL zu verwenden
  1. Fügen Sie die AWS verwaltete Regelgruppe Ihrem Schutzpaket oder Ihrer Web-ACL hinzu und bearbeiten Sie die Regelgruppeneinstellungen vor dem Speichern. AWSManagedRulesAntiDDoSRuleSet

    Anmerkung

    Wenn Sie diese verwaltete Regelgruppe verwenden, werden Ihnen zusätzliche Gebühren berechnet. Weitere Informationen finden Sie unter AWS WAF  – Preise.

  2. Geben Sie im Bereich Regelgruppenkonfiguration eine beliebige benutzerdefinierte Konfiguration für die AWSManagedRulesAntiDDoSRuleSet Regelgruppe ein.

    1. Geben Sie unter Vertraulichkeitsstufe blockieren an, wie sensibel die Regel sein DDoSRequests soll, wenn eine Übereinstimmung mit der DDo S-Verdachtsbeschriftung der Regelgruppe gefunden wird. Je höher die Sensitivität, desto niedriger sind die Kennzeichnungsebenen, denen die Regel entspricht:

      • Niedrige Sensitivität ist weniger sensibel, was dazu führt, dass die Regel nur für die offensichtlichsten Teilnehmer eines Angriffs gilt, bei denen der Verdacht hoch istawswaf:managed:aws:anti-ddos:high-suspicion-ddos-request.

      • Mittlere Sensitivität führt dazu, dass die Regel für die Kategorien „Mittlerer Verdacht“ und „Hoch verdächtig“ gilt.

      • Hohe Sensitivität führt dazu, dass die Regel auf allen Verdachtsbezeichnungen zutrifft: Niedrig, Mittel und Hoch.

      Diese Regel bietet die strengste Behandlung von Webanfragen, bei denen der Verdacht besteht, dass sie an DDo S-Angriffen beteiligt sind.

    2. Wählen Sie für Enable Challenge aus, ob die Regeln aktiviert werden ChallengeAllDuringEvent sollen ChallengeDDoSRequests und welche Regeln die Challenge Aktion standardmäßig auf entsprechende Anfragen anwenden.

      Diese Regeln ermöglichen die Bearbeitung von Anfragen, sodass legitime Benutzer ihre Anfragen bearbeiten können, während Teilnehmer am DDo S-Angriff blockiert werden. Sie können ihre Aktionseinstellungen außer Kraft setzen Allow Count oder ihre Verwendung vollständig deaktivieren.

      Wenn Sie diese Regeln aktivieren, geben Sie jede weitere Konfiguration an, die Sie möchten:

      • Geben Sie unter Sensitivitätsstufe für Herausforderungen an, wie sensibel die Regel sein ChallengeDDoSRequests soll.

        Je höher die Sensitivität, desto niedriger sind die Kennzeichnungsebenen, denen die Regel entspricht:

        • Niedrige Sensitivität ist weniger sensibel, was dazu führt, dass die Regel nur für die offensichtlichsten Teilnehmer eines Angriffs gilt, bei denen der Verdacht hoch istawswaf:managed:aws:anti-ddos:high-suspicion-ddos-request.

        • Mittlere Sensitivität führt dazu, dass die Regel für die Kategorien „Mittlerer Verdacht“ und „Hoch verdächtig“ gilt.

        • Hohe Sensitivität führt dazu, dass die Regel auf allen Verdachtsbezeichnungen zutrifft: Niedrig, Mittel und Hoch.

      • Geben Sie für reguläre Ausdrücke vom Typ „Exempt URI“ einen regulären Ausdruck an, der mit URIs Webanfragen übereinstimmt, die eine automatische Browserabfrage nicht verarbeiten können. Durch die Challenge Aktion werden Anfragen von Personen URIs , denen das Challenge-Token fehlt, effektiv blockiert, es sei denn, sie können die automatische Browser-Anfrage bewältigen.

        Die Challenge Aktion kann nur von einem Client ordnungsgemäß ausgeführt werden, der HTML-Inhalt erwartet. Weitere Informationen zur Funktionsweise der Aktion finden Sie unterCAPTCHAund Challenge Handlungsverhalten.

        Überprüfen Sie den regulären Standardausdruck und aktualisieren Sie ihn nach Bedarf. Die Regeln verwenden den angegebenen regulären Ausdruck, um Anfragen zu identifizieren URIs , die die Challenge Aktion nicht verarbeiten können, und um zu verhindern, dass die Regeln eine Anfrage zurücksenden. Anfragen, die Sie auf diese Weise ausschließen, können nur von der Regelgruppe blockiert werden, für die die Regel giltDDoSRequests.

        Der in der Konsole bereitgestellte Standardausdruck deckt die meisten Anwendungsfälle ab, Sie sollten ihn jedoch überprüfen und für Ihre Anwendung anpassen.

        AWS WAF unterstützt die von der PCRE-Bibliothek verwendete Mustersyntax libpcre mit einigen Ausnahmen. Die Bibliothek ist unter PCRE - Perl Compatible Regular Expressions (Perl-kompatible reguläre Ausdrücke) dokumentiert. Hinweise zur AWS WAF Unterstützung finden Sie unterUnterstützte Syntax für reguläre Ausdrücke in AWS WAF.

  3. Geben Sie die gewünschte zusätzliche Konfiguration für die Regelgruppe ein und speichern Sie die Regel.

    Anmerkung

    AWS empfiehlt, für diese verwaltete Regelgruppe keine Scopedown-Anweisung zu verwenden. Die Scope-down-Anweisung schränkt die Anfragen ein, die von der Regelgruppe beobachtet werden, und kann daher zu einer ungenauen Datenverkehrsbasis und einer verminderten Erkennung von S-Ereignissen führen. DDo Die Option Scope-Down-Anweisung ist für alle verwalteten Regelgruppenanweisungen verfügbar, sollte aber nicht für diese verwendet werden. Informationen zu Eingrenzungsanweisungen finden Sie unter Verwendung von Scope-Down-Aussagen in AWS WAF.

  4. Verschieben Sie auf der Seite Regelpriorität festlegen die neue Regel für verwaltete DDo Anti-S-Regeln nach oben, sodass sie erst nach allen vorhandenen Allow Aktionsregeln und vor allen anderen Regeln ausgeführt wird. Auf diese Weise kann die Regelgruppe den meisten Traffic für den DDo Anti-S-Schutz nachverfolgen.

  5. Speichern Sie Ihre Änderungen am Protection Pack oder an der Web-ACL.

Bevor Sie Ihre Anti-S-Implementierung für Produktionsdatenverkehr einsetzen, sollten Sie sie in einer Staging- DDo oder Testumgebung testen und optimieren, bis Sie mit den möglichen Auswirkungen auf Ihren Datenverkehr vertraut sind. Testen und optimieren Sie dann die Regeln im Zählmodus mit Ihrem Produktionsdatenverkehr, bevor Sie sie aktivieren. Weitere Informationen finden Sie im folgenden Abschnitt.