Ajout du groupe de règles gérées DDo anti-S à votre pack de protection ou à votre ACL Web - AWS WAF, AWS Firewall ManagerAWS Shield Advanced, et directeur de la sécurité AWS Shield réseau

Présentation d'une nouvelle expérience de console pour AWS WAF

Vous pouvez désormais utiliser l'expérience mise à jour pour accéder aux AWS WAF fonctionnalités n'importe où dans la console. Pour en savoir plus, consultez Utilisation de l'expérience de console mise à jour.

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Ajout du groupe de règles gérées DDo anti-S à votre pack de protection ou à votre ACL Web

Cette section explique comment ajouter et configurer le groupe de AWSManagedRulesAntiDDoSRuleSet règles.

Pour configurer le groupe de règles géré DDo anti-S, vous fournissez des paramètres qui incluent le degré de sensibilité du groupe de règles aux attaques DDo S et les actions qu'il entreprend sur les demandes qui participent ou sont susceptibles de participer aux attaques. Cette configuration s'ajoute à la configuration normale d'un groupe de règles géré.

Pour la description du groupe de règles et la liste des règles et des libellés, voirAWS WAF Groupe de règles de prévention du déni de service distribué (DDoS).

Ce guide est destiné aux utilisateurs qui savent généralement comment créer et gérer un pack de AWS WAF protection ou un site Web ACLs, des règles et des groupes de règles. Ces sujets sont abordés dans les sections précédentes de ce guide. Pour obtenir des informations de base sur l'ajout d'un groupe de règles géré à votre pack de protection ou à votre ACL Web, consultezAjout d'un groupe de règles géré à un pack de protection ou à une ACL Web via la console.

Suivez les meilleures pratiques

Utilisez le groupe de règles DDo anti-S conformément aux meilleures pratiques deLes meilleures pratiques pour l'atténuation intelligente des menaces dans AWS WAF.

Pour utiliser le groupe de AWSManagedRulesAntiDDoSRuleSet règles dans votre pack de protection ou votre ACL Web

  1. Ajoutez le groupe de règles AWS géré AWSManagedRulesAntiDDoSRuleSet à votre pack de protection ou à votre ACL Web, et modifiez les paramètres du groupe de règles avant de l'enregistrer.

    Note

    Des frais supplémentaires vous sont facturés lorsque vous utilisez ce groupe de règles géré. Pour plus d’informations, consultez Tarification d’AWS WAF.

  2. Dans le volet de configuration du groupe de règles, indiquez toute configuration personnalisée pour le groupe de AWSManagedRulesAntiDDoSRuleSet règles.

    1. Pour le niveau de sensibilité du bloc, spécifiez le degré de sensibilité que vous souhaitez attribuer DDoSRequests à la règle lors de la correspondance sur l'étiquette de suspicion DDo S du groupe de règles. Plus la sensibilité est élevée, plus les niveaux d'étiquetage auxquels la règle correspond sont faibles :

      • Une faible sensibilité est moins sensible, de sorte que la règle ne s'applique qu'aux participants les plus évidents à une attaque, qui ont le plus de soupçonsawswaf:managed:aws:anti-ddos:high-suspicion-ddos-request.

      • Une sensibilité moyenne fait correspondre la règle sur les étiquettes de suspicion moyenne et élevée.

      • Une sensibilité élevée fait en sorte que la règle correspond à toutes les étiquettes suspectes : faible, moyenne et élevée.

      Cette règle fournit le traitement le plus sévère des requêtes Web soupçonnées de participer à des attaques DDo S.

    2. Pour Enable challenge, choisissez si vous souhaitez activer les règles ChallengeDDoSRequests etChallengeAllDuringEvent, par défaut, lesquelles appliquent l'Challengeaction aux demandes correspondantes.

      Ces règles fournissent un traitement des demandes destiné à permettre aux utilisateurs légitimes de traiter leurs demandes tout en bloquant les participants à l'attaque DDo S. Vous pouvez remplacer leurs paramètres d'action Allow Count ou désactiver complètement leur utilisation.

      Si vous activez ces règles, fournissez la configuration supplémentaire que vous souhaitez :

      • Pour le niveau de sensibilité du défi, spécifiez le niveau de sensibilité que vous souhaitez attribuer ChallengeDDoSRequests à la règle.

        Plus la sensibilité est élevée, plus les niveaux d'étiquetage auxquels la règle correspond sont faibles :

        • Une faible sensibilité est moins sensible, de sorte que la règle ne s'applique qu'aux participants les plus évidents à une attaque, qui ont le plus de soupçonsawswaf:managed:aws:anti-ddos:high-suspicion-ddos-request.

        • Une sensibilité moyenne fait correspondre la règle sur les étiquettes de suspicion moyenne et élevée.

        • Une sensibilité élevée fait en sorte que la règle correspond à toutes les étiquettes suspectes : faible, moyenne et élevée.

      • Pour les expressions régulières d'URI exemptées, fournissez une expression régulière qui correspond URIs aux requêtes Web qui ne peuvent pas gérer un problème de navigation silencieuse. L'Challengeaction bloquera efficacement les demandes URIs dont le jeton de défi est absent, à moins qu'elles ne puissent gérer le défi du navigateur silencieux.

        L'Challengeaction ne peut être gérée correctement que par un client qui attend du contenu HTML. Pour plus d'informations sur le fonctionnement de l'action, consultezCAPTCHAet comportement Challenge d'action.

        Vérifiez l'expression régulière par défaut et mettez-la à jour si nécessaire. Les règles utilisent l'expression régulière spécifiée pour identifier les demandes URIs qui ne peuvent pas gérer l'Challengeaction et empêcher les règles de renvoyer un défi. Les demandes que vous excluez de cette manière ne peuvent être bloquées que par le groupe de règles associé à la règleDDoSRequests.

        L'expression par défaut fournie dans la console couvre la plupart des cas d'utilisation, mais vous devez la revoir et l'adapter à votre application.

        AWS WAF prend en charge la syntaxe des modèles utilisée par la bibliothèque PCRE, libpcre à quelques exceptions près. La bibliothèque est documentée sur PCRE - Perl Compatible Regular Expressions. Pour plus d'informations sur AWS WAF le support, consultezSyntaxe d'expression régulière prise en charge dans AWS WAF.

  3. Fournissez toute configuration supplémentaire que vous souhaitez pour le groupe de règles et enregistrez la règle.

    Note

    AWS recommande de ne pas utiliser d'instruction scope-down avec ce groupe de règles géré. L'instruction scope-down limite les demandes observées par le groupe de règles, ce qui peut entraîner une base de trafic inexacte et une diminution de la détection des événements DDo S. L'option d'instruction scope-down est disponible pour toutes les instructions du groupe de règles géré, mais ne doit pas être utilisée pour celle-ci. Pour plus d'informations sur les instructions de portée réduite, voir. Utilisation d'instructions scope-down dans AWS WAF

  4. Sur la page Définir la priorité des règles, déplacez la nouvelle règle de groupe de règles géré DDo anti-S vers le haut afin qu'elle ne s'exécute qu'après toutes les règles Allow d'action que vous avez et avant toute autre règle. Cela permet au groupe de règles de suivre le plus de trafic à des fins de protection DDo anti-S.

  5. Enregistrez les modifications apportées au pack de protection ou à l'ACL Web.

Avant de déployer votre implémentation DDo anti-S pour le trafic de production, testez-la et ajustez-la dans un environnement intermédiaire ou de test jusqu'à ce que vous soyez à l'aise avec l'impact potentiel sur votre trafic. Testez et ajustez ensuite les règles en mode comptage avec votre trafic de production avant de les activer. Consultez la section qui suit pour obtenir des conseils.