Añadir el grupo de reglas gestionadas Anti- DDo S a su paquete de protección o ACL web - AWS WAF, AWS Firewall ManagerAWS Shield Advanced, y director AWS Shield de seguridad de red

Presentamos una nueva experiencia de consola para AWS WAF

Ahora puede usar la experiencia actualizada para acceder a las AWS WAF funciones desde cualquier parte de la consola. Para obtener más información, consulta Trabajar con la experiencia de consola actualizada.

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Añadir el grupo de reglas gestionadas Anti- DDo S a su paquete de protección o ACL web

En esta sección se explica cómo se agrega y configura el grupo de reglas AWSManagedRulesAntiDDoSRuleSet.

Para configurar el grupo de reglas gestionado por DDo Anti-S, debe proporcionar ajustes que incluyan la sensibilidad del grupo de reglas a los ataques DDo S y las acciones que realiza ante las solicitudes que participan o podrían estar participando en los ataques. Esta configuración se suma a la configuración normal de un grupo de reglas administradas.

Para ver la descripción del grupo de reglas y la lista de reglas y etiquetas, consulteAWS WAF Grupo de reglas de prevención de denegación de servicio (DDoS) distribuida.

Esta guía está destinada a los usuarios que, en general, saben cómo crear y administrar paquetes de AWS WAF protección o sitios web ACLs, reglas y grupos de reglas. Estos temas se tratan en secciones anteriores de esta guía. Para obtener información básica sobre cómo agregar un grupo de reglas administrado a su paquete de protección o ACL web, consulteAgregar un grupo de reglas administrado a un paquete de protección o ACL web a través de la consola.

Seguir las prácticas recomendadas

Utilice el grupo de reglas DDo Anti-S de acuerdo con las prácticas recomendadas que se indican enMejores prácticas para la mitigación inteligente de amenazas en AWS WAF.

Para usar el grupo de AWSManagedRulesAntiDDoSRuleSet reglas en su paquete de protección o ACL web

  1. Agregue el grupo de reglas AWS administrado AWSManagedRulesAntiDDoSRuleSet a su paquete de protección o ACL web y edite la configuración del grupo de reglas antes de guardarlo.

    nota

    Se le cobrarán tarifas adicionales cuando utilice este grupo de reglas administradas. Para obtener más información, consulte AWS WAF Precios.

  2. En el panel de configuración del grupo de reglas, proporcione cualquier configuración personalizada para el grupo de AWSManagedRulesAntiDDoSRuleSet reglas.

    1. En el nivel de sensibilidad del bloque, especifique el grado de sensibilidad que desea DDoSRequests que tenga la regla cuando coincida con la etiqueta de sospecha DDo S del grupo de reglas. Cuanto mayor sea la sensibilidad, menores serán los niveles de etiquetado con los que coincida la regla:

      • La sensibilidad baja es menos sensible, por lo que la regla solo coincide con los participantes más evidentes de un ataque, que tienen la etiqueta de alta sospechaawswaf:managed:aws:anti-ddos:high-suspicion-ddos-request.

      • La sensibilidad media hace que la regla coincida en las etiquetas de sospecha media y alta.

      • La sensibilidad alta hace que la regla coincida en todas las etiquetas de sospecha: baja, media y alta.

      Esta regla proporciona el tratamiento más riguroso de las solicitudes web sospechosas de participar en DDo un ataque tipo S.

    2. En Habilitar el desafío, elija si desea habilitar las reglas ChallengeDDoSRequests y cuálesChallengeAllDuringEvent, de forma predeterminada, aplicarán la Challenge acción a las solicitudes coincidentes.

      Estas reglas permiten gestionar las solicitudes de forma que los usuarios legítimos puedan tramitarlas y, al mismo tiempo, bloquear a los participantes en el ataque DDo S. Puedes anular su configuración de acción Allow Count o deshabilitar su uso por completo.

      Si habilita estas reglas, proporcione la configuración adicional que desee:

      • En el nivel de sensibilidad del desafío, especifique qué tan sensible desea que sea la reglaChallengeDDoSRequests.

        Cuanto mayor sea la sensibilidad, menores serán los niveles de etiquetado con los que coincida la regla:

        • La sensibilidad baja es menos sensible, por lo que la regla solo coincide con los participantes más evidentes de un ataque, que tienen la etiqueta de alta sospechaawswaf:managed:aws:anti-ddos:high-suspicion-ddos-request.

        • La sensibilidad media hace que la regla coincida en las etiquetas de sospecha media y alta.

        • La sensibilidad alta hace que la regla coincida en todas las etiquetas de sospecha: baja, media y alta.

      • En el caso de las expresiones regulares de URI exentas, proporciona una expresión regular que coincida con la de las URIs solicitudes web que no pueden gestionar un navegador silencioso. La Challenge acción bloqueará eficazmente las solicitudes a las URIs que les falte el token de desafío, a menos que puedan gestionar el desafío del navegador silencioso.

        La Challenge acción solo la puede gestionar correctamente un cliente que espere contenido HTML. Para obtener más información sobre cómo funciona la acción, consulteComportamiento de acción CAPTCHA y Challenge.

        Revise la expresión regular predeterminada y actualícela según sea necesario. Las reglas utilizan la expresión regular especificada para identificar las solicitudes URIs que no pueden gestionar la Challenge acción e impedir que las reglas devuelvan una impugnación. Las solicitudes que excluya de esta manera solo las puede bloquear el grupo de reglas que contenga la reglaDDoSRequests.

        La expresión predeterminada que se proporciona en la consola abarca la mayoría de los casos de uso, pero debes revisarla y adaptarla a tu aplicación.

        AWS WAF admite la sintaxis de patrones utilizada por la biblioteca PCRE, libpcre con algunas excepciones. La biblioteca está documentada en PCRE, expresiones regulares compatibles con Perl. Para obtener información sobre el AWS WAF soporte, consulteSintaxis de expresiones regulares admitida en AWS WAF.

  3. Proporcione cualquier configuración adicional que desee para el grupo de reglas y guarde la regla.

    nota

    AWS recomienda no utilizar una declaración de alcance reducido con este grupo de reglas administrado. La declaración de alcance limita las solicitudes que el grupo de reglas observa y, por lo tanto, puede dar como resultado una línea base de tráfico imprecisa y una disminución de la detección de eventos S. DDo La opción de enunciado de alcance reducido está disponible para todas las sentencias de los grupos de reglas gestionados, pero no debe utilizarse para esta. Para obtener información sobre las instrucciones de restricción de acceso, consulte Uso de declaraciones de alcance reducido en AWS WAF.

  4. En la página Definir la prioridad de las reglas, mueva hacia arriba la nueva regla de grupo de reglas gestionado que no sea DDo S para que se ejecute solo después de cualquier regla de Allow acción que tenga y antes que cualquier otra regla. Esto le da al grupo de reglas la capacidad de rastrear la mayor parte del tráfico para obtener la protección DDo Anti-S.

  5. Guarde los cambios en el paquete de protección o en la ACL web.

Antes de implementar su implementación anti DDo S para el tráfico de producción, pruébela y ajústela en un entorno provisional o de pruebas hasta que se sienta cómodo con el posible impacto en el tráfico. A continuación, pruebe y ajuste las reglas en el modo de recuento con el tráfico de producción antes de habilitarlas. Consulte la sección siguiente para obtener orientación.