Añadir el grupo de reglas gestionado Anti- DDo S a su paquete de protección (ACL web) - AWS WAF, AWS Firewall Manager AWS Shield Advanced, y director AWS Shield de seguridad de red

Presentamos una nueva experiencia de consola para AWS WAF

Ahora puede usar la experiencia actualizada para acceder a las AWS WAF funciones desde cualquier parte de la consola. Para obtener más información, consulte Trabajar con la consola.

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Añadir el grupo de reglas gestionado Anti- DDo S a su paquete de protección (ACL web)

En esta sección se explica cómo se agrega y configura el grupo de reglas AWSManagedRulesAntiDDoSRuleSet.

Para configurar el grupo de reglas gestionado por DDo Anti-S, debe proporcionar ajustes que incluyan la sensibilidad del grupo de reglas a los ataques DDo S y las acciones que realiza ante las solicitudes que participan o podrían estar participando en los ataques. Esta configuración se suma a la configuración normal de un grupo de reglas administradas.

Para ver la descripción del grupo de reglas y la lista de etiquetas y reglas, consulte AWS WAF Grupo de reglas de prevención de denegación de servicio (DDoS) distribuida.

Esta guía está destinada a los usuarios que, en general, saben cómo crear y administrar paquetes de AWS WAF protección (web ACLs), reglas y grupos de reglas. Estos temas se tratan en secciones anteriores de esta guía. Para obtener información básica sobre cómo agregar un grupo de reglas administradas a su paquete de protección (ACL web), consulte Adición de un grupo de reglas administradas a un paquete de protección (ACL web) a través de la consola.

Seguir las prácticas recomendadas

Utilice el grupo de reglas Anti- DDo S de acuerdo con las prácticas recomendadas deMejores prácticas para la mitigación inteligente de amenazas en AWS WAF.

Uso del grupo de reglas de AWSManagedRulesAntiDDoSRuleSet en su paquete de protección (ACL web)

  1. Añada el grupo de reglas AWS gestionado AWSManagedRulesAntiDDoSRuleSet a su paquete de protección (ACL web) y edite la configuración del grupo de reglas antes de guardarlo.

    nota

    Se le cobrarán tarifas adicionales cuando utilice este grupo de reglas administradas. Para obtener más información, consulte AWS WAF Precios.

  2. En el panel Configuración del grupo de reglas, proporcione cualquier configuración personalizada para el grupo de reglas AWSManagedRulesAntiDDoSRuleSet.

    1. En el caso del nivel de sensibilidad del bloque, especifique el grado de sensibilidad que desea DDoSRequests que tenga la regla cuando coincida con la etiqueta de sospecha DDo S del grupo de reglas. A mayor sensibilidad, más bajo es el umbral de etiquetado necesario para que la regla coincida:

      • La sensibilidad baja es menos sensible, lo que hace que la regla coincida solo con los participantes más evidentes en un ataque, quienes tienen la etiqueta de sospecha alta awswaf:managed:aws:anti-ddos:high-suspicion-ddos-request.

      • La sensibilidad media hace que la regla coincida con las etiquetas de sospecha media y alta.

      • La sensibilidad alta hace que la regla coincida con todas las etiquetas de sospecha: baja, media y alta.

      Esta regla proporciona el tratamiento más riguroso posible de las solicitudes web sospechosas de participar en ataques tipo DDo S.

    2. Para Habilitar desafío, elija si habilita las reglas ChallengeDDoSRequests y ChallengeAllDuringEvent, que de manera predeterminada aplican la acción Challenge a las solicitudes que coinciden.

      Estas reglas permiten gestionar las solicitudes de forma que los usuarios legítimos puedan tramitarlas y, al mismo tiempo, bloquear a los participantes en el ataque DDo S. Puede reemplazar la acción por Allow o Count, o deshabilitar estas reglas.

      Si decide habilitarlas, proporcione cualquier configuración adicional que desee:

      • Para el nivel de sensibilidad del desafío, especifique la sensibilidad que desea que la regla ChallengeDDoSRequests aplique.

        A mayor sensibilidad, más bajo es el umbral de etiquetado necesario para que la regla coincida:

        • La sensibilidad baja es menos sensible, lo que hace que la regla coincida solo con los participantes más evidentes en un ataque, quienes tienen la etiqueta de sospecha alta awswaf:managed:aws:anti-ddos:high-suspicion-ddos-request.

        • La sensibilidad media hace que la regla coincida con las etiquetas de sospecha media y alta.

        • La sensibilidad alta hace que la regla coincida con todas las etiquetas de sospecha: baja, media y alta.

      • En el caso de las expresiones regulares de URI exentas, proporciona una expresión regular que coincida con la de las URIs solicitudes web que no pueden gestionar un navegador silencioso. La Challenge acción bloqueará eficazmente las solicitudes a las URIs que les falte el token de desafío, a menos que puedan gestionar el desafío del navegador silencioso.

        La acción Challenge solo funciona correctamente cuando el cliente espera contenido HTML. Para obtener más información sobre cómo funciona la acción, consulte Comportamiento de acción CAPTCHA y Challenge.

        Revise la expresión regular predeterminada y actualícela según sea necesario. Las reglas utilizan la expresión regular especificada para identificar las solicitudes URIs que no pueden gestionar la Challenge acción y evitar que las reglas devuelvan un desafío. Las solicitudes que excluya de esta manera solo podrán bloquearse mediante el grupo de reglas que incluye la regla DDoSRequests.

        La expresión predeterminada que aparece en la consola cubre la mayoría de los casos de uso, pero debe revisarla y adaptarla a su aplicación.

        AWS WAF admite la sintaxis de patrones utilizada por la biblioteca PCRE, libpcre con algunas excepciones. La biblioteca está documentada en PCRE, expresiones regulares compatibles con Perl. Para obtener información sobre el AWS WAF soporte, consulteSintaxis de expresiones regulares admitida en AWS WAF.

  3. Proporcione cualquier configuración adicional que desee para el grupo de reglas y guarde la regla.

    nota

    AWS recomienda no utilizar una declaración de alcance reducido con este grupo de reglas gestionado. La declaración de alcance limitado limita las solicitudes que el grupo de reglas observa y, por lo tanto, puede dar como resultado una línea base de tráfico imprecisa y una disminución de la detección de eventos S. DDo Aunque la opción de reducción de alcance está disponible para todas las declaraciones de grupos de reglas administradas, no debe usarse en este caso. Para obtener información sobre las instrucciones de restricción de acceso, consulte Uso de declaraciones de alcance reducido en AWS WAF.

  4. En la página Definir la prioridad de las reglas, mueva hacia arriba la nueva regla del grupo de reglas DDo antiS gestionado para que se ejecute solo después de cualquier regla de Allow acción que tenga y antes que cualquier otra regla. Esto le da al grupo de reglas la capacidad de rastrear la mayor parte del tráfico para obtener la protección DDo Anti-S.

  5. Guarde los cambios en el paquete de protección (ACL web).

Antes de implementar su implementación DDo anti-S para el tráfico de producción, pruébela y ajústela en un entorno provisional o de pruebas hasta que se sienta cómodo con el posible impacto en el tráfico. A continuación, pruebe y ajuste las reglas en el modo de recuento con el tráfico de producción antes de habilitarlas. Consulte la sección siguiente para obtener orientación.