Menambahkan grup aturan terkelola Anti- DDo S ke paket perlindungan atau ACL web Anda - AWS WAF, AWS Firewall ManagerAWS Shield Advanced, dan direktur keamanan AWS Shield jaringan

Memperkenalkan pengalaman konsol baru untuk AWS WAF

Anda sekarang dapat menggunakan pengalaman yang diperbarui untuk mengakses AWS WAF fungsionalitas di mana saja di konsol. Untuk detail selengkapnya, lihat Bekerja dengan pengalaman konsol yang diperbarui.

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Menambahkan grup aturan terkelola Anti- DDo S ke paket perlindungan atau ACL web Anda

Bagian ini menjelaskan cara menambahkan dan mengkonfigurasi grup AWSManagedRulesAntiDDoSRuleSet aturan.

Untuk mengonfigurasi grup aturan terkelola Anti- DDo S, Anda menyediakan pengaturan yang menyertakan seberapa sensitif grup aturan terhadap serangan DDo S dan tindakan yang diperlukan pada permintaan yang sedang atau mungkin berpartisipasi dalam serangan. Konfigurasi ini merupakan tambahan dari konfigurasi normal untuk grup aturan terkelola.

Untuk deskripsi grup aturan dan daftar aturan dan label, lihatAWS WAF Kelompok aturan pencegahan Denial of Service (DDoS) Terdistribusi.

Panduan ini ditujukan untuk pengguna yang tahu secara umum cara membuat dan mengelola paket AWS WAF perlindungan atau web ACLs, aturan, dan grup aturan. Topik-topik tersebut dibahas di bagian sebelumnya dari panduan ini. Untuk informasi dasar tentang cara menambahkan grup aturan terkelola ke paket perlindungan atau ACL web, lihatMenambahkan grup aturan terkelola ke paket perlindungan atau ACL web melalui konsol.

Ikuti praktik terbaik

Gunakan kelompok aturan DDo Anti-S sesuai dengan praktik terbaik diPraktik terbaik untuk mitigasi ancaman cerdas di AWS WAF.

Untuk menggunakan grup AWSManagedRulesAntiDDoSRuleSet aturan dalam paket perlindungan atau ACL web

  1. Tambahkan grup aturan AWS terkelola, AWSManagedRulesAntiDDoSRuleSet ke paket perlindungan atau ACL web Anda, dan Edit pengaturan grup aturan sebelum menyimpan.

    catatan

    Anda akan dikenakan biaya tambahan saat menggunakan grup aturan terkelola ini. Untuk informasi selengkapnya, silakan lihat Harga AWS WAF.

  2. Di panel konfigurasi grup Aturan, berikan konfigurasi kustom apa pun untuk grup AWSManagedRulesAntiDDoSRuleSet aturan.

    1. Untuk tingkat sensitivitas Blok, tentukan seberapa sensitif aturan DDoSRequests yang Anda inginkan saat mencocokkan label kecurigaan DDo S grup aturan. Semakin tinggi sensitivitasnya, semakin rendah tingkat pelabelan yang cocok dengan aturan:

      • Sensitivitas rendah kurang sensitif, menyebabkan aturan hanya cocok pada peserta yang paling jelas dalam serangan, yang memiliki label awswaf:managed:aws:anti-ddos:high-suspicion-ddos-request kecurigaan tinggi.

      • Sensitivitas sedang menyebabkan aturan cocok pada label kecurigaan sedang dan tinggi.

      • Sensitivitas tinggi menyebabkan aturan cocok pada semua label kecurigaan: rendah, sedang, dan tinggi.

      Aturan ini memberikan penanganan permintaan web yang paling parah yang dicurigai berpartisipasi dalam serangan DDo S.

    2. Untuk tantangan Aktifkan, pilih apakah akan mengaktifkan aturan ChallengeDDoSRequests danChallengeAllDuringEvent, yang secara default menerapkan Challenge tindakan ke permintaan yang cocok.

      Aturan ini menyediakan penanganan permintaan yang dimaksudkan untuk mengizinkan pengguna yang sah untuk melanjutkan permintaan mereka sambil memblokir peserta dalam serangan DDo S. Anda dapat mengganti pengaturan tindakan mereka ke Allow atau Count atau Anda dapat menonaktifkan penggunaannya sepenuhnya.

      Jika Anda mengaktifkan aturan ini, berikan konfigurasi tambahan apa pun yang Anda inginkan:

      • Untuk tingkat sensitivitas Tantangan, tentukan seberapa sensitif aturan yang ChallengeDDoSRequests Anda inginkan.

        Semakin tinggi sensitivitasnya, semakin rendah tingkat pelabelan yang cocok dengan aturan:

        • Sensitivitas rendah kurang sensitif, menyebabkan aturan hanya cocok pada peserta yang paling jelas dalam serangan, yang memiliki label awswaf:managed:aws:anti-ddos:high-suspicion-ddos-request kecurigaan tinggi.

        • Sensitivitas sedang menyebabkan aturan cocok pada label kecurigaan sedang dan tinggi.

        • Sensitivitas tinggi menyebabkan aturan cocok pada semua label kecurigaan: rendah, sedang, dan tinggi.

      • Untuk ekspresi reguler URI yang dikecualikan, berikan ekspresi reguler yang cocok dengan permintaan web yang tidak dapat menangani tantangan browser senyap. URIs ChallengeTindakan ini akan secara efektif memblokir permintaan dari URIs yang kehilangan token tantangan kecuali mereka dapat menangani tantangan browser diam.

        ChallengeTindakan hanya dapat ditangani dengan benar oleh klien yang mengharapkan konten HTML. Untuk informasi selengkapnya tentang cara kerja tindakan, lihatCAPTCHAdan perilaku Challenge tindakan.

        Tinjau ekspresi reguler default dan perbarui sesuai kebutuhan. Aturan menggunakan ekspresi reguler yang ditentukan untuk mengidentifikasi permintaan URIs yang tidak dapat menangani Challenge tindakan dan mencegah aturan mengirim tantangan kembali. Permintaan yang Anda kecualikan dengan cara ini hanya dapat diblokir oleh grup aturan dengan aturanDDoSRequests.

        Ekspresi default yang disediakan di konsol mencakup sebagian besar kasus penggunaan, tetapi Anda harus meninjau dan menyesuaikannya untuk aplikasi Anda.

        AWS WAF mendukung sintaks pola yang digunakan oleh pustaka PCRE libpcre dengan beberapa pengecualian. Pustaka didokumentasikan di PCRE - Perl Compatible Regular Expressions. Untuk informasi tentang AWS WAF dukungan, lihatSintaks ekspresi reguler yang didukung di AWS WAF.

  3. Berikan konfigurasi tambahan apa pun yang Anda inginkan untuk grup aturan dan simpan aturannya.

    catatan

    AWS merekomendasikan untuk tidak menggunakan pernyataan scope-down dengan grup aturan terkelola ini. Pernyataan cakupan bawah membatasi permintaan yang diamati oleh kelompok aturan, sehingga dapat mengakibatkan garis dasar lalu lintas yang tidak akurat dan berkurangnya deteksi peristiwa S. DDo Opsi pernyataan cakupan bawah tersedia untuk semua pernyataan grup aturan terkelola, tetapi tidak boleh digunakan untuk yang ini. Untuk informasi tentang pernyataan cakupan bawah, lihat. Menggunakan pernyataan scope-down di AWS WAF

  4. Di halaman prioritas aturan Set, pindahkan aturan grup aturan terkelola DDo anti-S yang baru sehingga hanya berjalan setelah aturan Allow tindakan apa pun yang Anda miliki dan sebelum aturan lainnya. Ini memberi kelompok aturan kemampuan untuk melacak lalu lintas terbanyak untuk perlindungan DDo Anti-S.

  5. Simpan perubahan Anda ke paket perlindungan atau ACL web.

Sebelum Anda menerapkan implementasi DDo anti-S Anda untuk lalu lintas produksi, uji dan sesuaikan di lingkungan pementasan atau pengujian sampai Anda merasa nyaman dengan dampak potensial terhadap lalu lintas Anda. Kemudian uji dan atur aturan dalam mode hitungan dengan lalu lintas produksi Anda sebelum mengaktifkannya. Lihat bagian berikut untuk panduan.