**Memperkenalkan pengalaman konsol baru untuk AWS WAF**

Anda sekarang dapat menggunakan pengalaman yang diperbarui untuk mengakses AWS WAF fungsionalitas di mana saja di konsol. Untuk detail selengkapnya, lihat [Bekerja dengan konsol](https://docs.aws.amazon.com/waf/latest/developerguide/working-with-console.html). 

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

# AWS WAF Pencegahan Penolakan Layanan (DDoS) Terdistribusi
<a name="waf-anti-ddos"></a>

AWS WAF menawarkan perlindungan canggih dan dapat disesuaikan terhadap serangan DDo S di sumber daya Anda AWS . Tinjau opsi yang dijelaskan di bagian ini dan pilih tingkat perlindungan DDo Anti-S yang memenuhi kebutuhan keamanan dan bisnis Anda.

Anda dapat memilih dari dua tingkatan perlindungan DDo S di AWS WAF:

Perlindungan S tingkat sumber daya DDo  
Tingkat standar bekerja dalam Application Load Balancers untuk mempertahankan terhadap sumber berbahaya yang diketahui melalui penyaringan on-host. Anda dapat mengonfigurasi perilaku protektif untuk bereaksi terbaik terhadap peristiwa DDo S potensial.  
Perlindungan S tingkat sumber daya DDo:  
+ Memantau pola lalu lintas Anda secara otomatis.
+ Memperbarui intelijen ancaman secara real time.
+ Melindungi dari sumber berbahaya yang diketahui.
**Untuk mengoptimalkan biaya permintaan ACL web untuk Application Load Balancer Anda**  
Anda harus mengaitkan ACL web dengan Application Load Balancer Anda untuk mengaktifkan perlindungan tingkat sumber daya. Jika Application Load Balancer Anda dikaitkan dengan ACL web yang tidak memiliki konfigurasi, Anda tidak akan dikenakan biaya dari AWS WAF permintaan, namun, tidak AWS WAF akan memberikan contoh permintaan atau laporan tentang Application Load Balancer dalam metrik. CloudWatch Anda dapat mengambil tindakan berikut untuk mengaktifkan fitur observabilitas untuk Application Load Balancer:  
+ Gunakan `Block` tindakan atau `Allow` tindakan dengan header permintaan khusus di. `DefaultAction` Untuk informasi, lihat [Memasukkan header permintaan khusus untuk tindakan non-pemblokiran](customizing-the-incoming-request.md).
+ Tambahkan aturan apa pun ke ACL web. Untuk informasi, lihat [AWS WAF aturan](waf-rules.md).
+ Aktifkan tujuan pencatatan. Untuk informasi, lihat [Mengkonfigurasi logging untuk paket perlindungan (web ACL)](logging-management-configure.md).
+ Kaitkan ACL web dengan AWS Firewall Manager kebijakan. Untuk informasi, lihat [Membuat AWS Firewall Manager kebijakan untuk AWS WAF](create-policy.md#creating-firewall-manager-policy-for-waf).
AWS WAF tidak akan memberikan permintaan sampel atau mempublikasikan CloudWatch metrik tanpa konfigurasi ini.

AWS perlindungan kelompok aturan DDo S terkelola  
Tingkat lanjutan perlindungan DDo S ditawarkan melalui. `AWSManagedRulesAntiDDoSRuleSet` Kelompok aturan terkelola melengkapi tingkat perlindungan tingkat sumber daya, dengan perbedaan penting berikut:  
+ Perlindungan meluas ke Penyeimbang Beban Aplikasi dan distribusi CloudFront 
+ Garis dasar lalu lintas dibuat untuk sumber daya Anda yang dilindungi untuk meningkatkan deteksi pola serangan baru.
+ Perilaku protektif diaktifkan sesuai dengan tingkat sensitivitas yang Anda pilih.
+ Mengelola dan memberi label permintaan ke sumber daya yang dilindungi selama kemungkinan peristiwa DDo S.
Untuk daftar lengkap aturan dan fungsionalitas yang disertakan, lihat[AWS WAF Kelompok aturan pencegahan Denial of Service (DDoS) Terdistribusi](aws-managed-rule-groups-anti-ddos.md).

**catatan**  
Anda akan dikenakan biaya tambahan saat menggunakan grup aturan terkelola ini. Untuk informasi selengkapnya, lihat [ Harga AWS WAF](https://aws.amazon.com/waf/pricing/).

**Topics**
+ [Perlindungan S tingkat sumber daya untuk Penyeimbang DDo Beban Aplikasi](waf-anti-ddos-alb.md)
+ [Perlindungan DDo Anti-S tingkat lanjut menggunakan grup aturan terkelola AWS WAF Anti- DDo S](waf-anti-ddos-advanced.md)

# Perlindungan S tingkat sumber daya untuk Penyeimbang DDo Beban Aplikasi
<a name="waf-anti-ddos-alb"></a>

**Perlindungan tingkat sumber daya DDo S** menambahkan pertahanan langsung ke Application Load Balancer tanpa menimbulkan biaya untuk menyebarkan AWS WAF grup aturan terkelola. Tingkat perlindungan Anti DDo S standar ini menggunakan intelijen AWS ancaman dan analisis pola lalu lintas untuk melindungi Application Load Balancer. Untuk mengidentifikasi sumber jahat yang diketahui, perlindungan DDo Anti-S melakukan penyaringan on-host dari alamat IP klien langsung dan header X-Forwarded-For (XFF). Setelah sumber berbahaya yang diketahui diidentifikasi, perlindungan diaktifkan melalui salah satu dari dua mode:

**Aktif di bawah DDo S** adalah mode pelindung default dan direkomendasikan untuk sebagian besar kasus penggunaan. 

Mode ini:
+ Mengaktifkan perlindungan secara otomatis saat mendeteksi kondisi beban tinggi atau potensi DDo peristiwa S
+ Rate-limit lalu lintas dari sumber berbahaya yang diketahui hanya selama kondisi serangan
+ Meminimalkan dampak pada lalu lintas yang sah selama operasi normal
+ Menggunakan metrik kesehatan dan data AWS WAF respons Application Load Balancer untuk menentukan kapan harus melakukan perlindungan

**Selalu** aktif adalah mode opsional yang selalu aktif setelah diaktifkan.

Mode ini: 
+ Mempertahankan perlindungan berkelanjutan terhadap sumber berbahaya yang diketahui
+ Rate-limit lalu lintas dari sumber berbahaya yang diketahui secara real time
+ Menerapkan perlindungan untuk koneksi langsung dan permintaan dengan header XFF berbahaya IPs 
+ Mungkin memiliki dampak yang lebih tinggi pada lalu lintas yang sah tetapi memberikan keamanan maksimum

Permintaan yang diblokir oleh perlindungan DDo S tingkat sumber daya dicatat dalam CloudWatch log sebagai salah satu atau metrik. `LowReputationPacketsDropped` `LowReputationRequestsDenied` Untuk informasi, lihat [AWS WAF metrik dan dimensi inti](waf-metrics.md#waf-metrics-general).

## Aktifkan perlindungan DDo S standar pada WebACL yang ada
<a name="enabling-protection-alb"></a>

Anda dapat mengaktifkan perlindungan DDo S saat membuat ACL web atau memperbarui ACL web yang ada yang terkait dengan Application Load Balancer.

**catatan**  
Jika Anda memiliki ACL web yang ada yang terkait dengan Application Load Balancer, perlindungan DDo Anti-S diaktifkan secara default **dengan Active DDo di bawah** mode S.

**Untuk mengaktifkan perlindungan DDo Anti-S di AWS WAF konsol**

1. Masuk ke Konsol Manajemen AWS dan buka AWS WAF konsol di [https://console.aws.amazon.com/wafv2/homev2](https://console.aws.amazon.com/wafv2/homev2). 

1. Pilih **Web ACLs** di panel navigasi, lalu buka ACL web apa pun yang terkait dengan Application Load Balancer.

1. Pilih ** AWS Sumber daya terkait**.

1. Di bawah **Perlindungan tingkat DDo S sumber daya**, pilih **Edit**.

1. Pilih salah satu mode perlindungan berikut:
   + **Aktif di bawah DDo S** (disarankan) - Perlindungan hanya berlaku selama kondisi beban tinggi
   + **Selalu** aktif - Perlindungan selalu aktif terhadap sumber berbahaya yang diketahui

1. Pilih **Simpan perubahan**.

**catatan**  
Untuk informasi tentang membuat ACL web, lihat[Membuat paket perlindungan (web ACL) di AWS WAF](web-acl-creating.md).

**Untuk mengoptimalkan biaya permintaan ACL web untuk Application Load Balancer Anda**  
Anda harus mengaitkan ACL web dengan Application Load Balancer Anda untuk mengaktifkan perlindungan tingkat sumber daya. Jika Application Load Balancer Anda dikaitkan dengan ACL web yang tidak memiliki konfigurasi, Anda tidak akan dikenakan biaya dari AWS WAF permintaan, namun, tidak AWS WAF akan memberikan contoh permintaan atau laporan tentang Application Load Balancer dalam metrik. CloudWatch Anda dapat mengambil tindakan berikut untuk mengaktifkan fitur observabilitas untuk Application Load Balancer:  
Gunakan `Block` tindakan atau `Allow` tindakan dengan header permintaan kustom di. `DefaultAction` Untuk informasi, lihat [Memasukkan header permintaan khusus untuk tindakan non-pemblokiran](customizing-the-incoming-request.md).
Tambahkan aturan apa pun ke ACL web. Untuk informasi, lihat [AWS WAF aturan](waf-rules.md).
Aktifkan tujuan pencatatan. Untuk informasi, lihat [Mengkonfigurasi logging untuk paket perlindungan (web ACL)](logging-management-configure.md).
Kaitkan ACL web dengan AWS Firewall Manager kebijakan. Untuk informasi, lihat [Membuat AWS Firewall Manager kebijakan untuk AWS WAF](create-policy.md#creating-firewall-manager-policy-for-waf).
AWS WAF tidak akan memberikan permintaan sampel atau mempublikasikan CloudWatch metrik tanpa konfigurasi ini.

# Perlindungan DDo Anti-S tingkat lanjut menggunakan grup aturan terkelola AWS WAF Anti- DDo S
<a name="waf-anti-ddos-advanced"></a>

Grup aturan `AWSManagedRulesAntiDDoSRuleSet` terkelola adalah tingkat perlindungan DDo Anti-S paling canggih yang tersedia di AWS WAF.

**catatan**  
Anda akan dikenakan biaya tambahan saat menggunakan grup aturan terkelola ini. Untuk informasi selengkapnya, silakan lihat [Harga AWS WAF](https://aws.amazon.com/waf/pricing/).

## AWS WAF Komponen perlindungan DDo anti-S
<a name="waf-anti-ddos-components"></a>

Komponen utama untuk menerapkan perlindungan DDo Anti-S canggih AWS WAF meliputi:

**`AWSManagedRulesAntiDDoSRuleSet`**— Mendeteksi, memberi label, dan menantang permintaan yang kemungkinan berpartisipasi dalam serangan DDo S. Ini juga memberi label semua permintaan ke sumber daya yang dilindungi selama acara. Untuk detail tentang aturan dan label grup aturan, lihat[AWS WAF Kelompok aturan pencegahan Denial of Service (DDoS) Terdistribusi](aws-managed-rule-groups-anti-ddos.md). Untuk menggunakan grup aturan ini, sertakan dalam paket perlindungan Anda (web ACL) menggunakan pernyataan referensi grup aturan terkelola. Untuk informasi, lihat [Menambahkan grup aturan terkelola Anti- DDo S ke paket perlindungan Anda (web ACL)](waf-anti-ddos-rg-using.md).
+ **Dasbor ikhtisar lalu lintas ACL Web** - Menyediakan pemantauan untuk aktivitas DDo S dan respons DDo anti-S di konsol. Untuk informasi selengkapnya, lihat [Dasbor ikhtisar lalu lintas untuk paket perlindungan (web ACLs)](web-acl-dashboards.md).
+ **Logging dan metrik** - Memungkinkan Anda memantau lalu lintas dan memahami efek perlindungan DDo Anti-S. Konfigurasikan log, pengumpulan data Amazon Security Lake, dan CloudWatch metrik Amazon untuk paket perlindungan Anda (web ACL). Untuk informasi tentang opsi ini, lihat[Lalu lintas paket AWS WAF perlindungan pencatatan (web ACL)](logging.md),[Pemantauan CloudWatch dengan Amazon](monitoring-cloudwatch.md), dan [Apa itu Amazon Security Lake?](https://docs.aws.amazon.com/security-lake/latest/userguide/what-is-security-lake.html) .
+ **Aturan pencocokan label dan label** — Memungkinkan Anda menyesuaikan penanganan permintaan web yang diidentifikasi oleh grup aturan terkelola Anti- DDo S. Untuk aturan apa pun`AWSManagedRulesAntiDDoSRuleSet`, Anda dapat beralih ke mode hitung dan mencocokkan dengan label yang ditambahkan. Untuk informasi selengkapnya, lihat [Pernyataan aturan pencocokan label](waf-rule-statement-type-label-match.md) dan [Pelabelan permintaan web di AWS WAF](waf-labels.md).
+ **Permintaan dan tanggapan khusus** - Memungkinkan Anda menambahkan header khusus ke permintaan yang diizinkan dan mengirim tanggapan khusus untuk permintaan yang diblokir. Pasangkan label yang cocok dengan fitur permintaan dan respons AWS WAF khusus. Lihat informasi yang lebih lengkap di [Permintaan dan tanggapan web yang disesuaikan di AWS WAF](waf-custom-request-response.md).

# Menambahkan grup aturan terkelola Anti- DDo S ke paket perlindungan Anda (web ACL)
<a name="waf-anti-ddos-rg-using"></a>

Bagian ini menjelaskan cara menambahkan dan mengkonfigurasi grup `AWSManagedRulesAntiDDoSRuleSet` aturan.

Untuk mengonfigurasi grup aturan terkelola Anti- DDo S, Anda menyediakan pengaturan yang menyertakan seberapa sensitif grup aturan terhadap serangan DDo S dan tindakan yang diperlukan pada permintaan yang sedang atau mungkin berpartisipasi dalam serangan. Konfigurasi ini merupakan tambahan dari konfigurasi normal untuk grup aturan terkelola. 

Untuk deskripsi grup aturan dan daftar aturan dan label, lihat[AWS WAF Kelompok aturan pencegahan Denial of Service (DDoS) Terdistribusi](aws-managed-rule-groups-anti-ddos.md).

Panduan ini ditujukan untuk pengguna yang tahu secara umum cara membuat dan mengelola paket AWS WAF perlindungan (web ACLs), aturan, dan grup aturan. Topik-topik tersebut dibahas di bagian sebelumnya dari panduan ini. Untuk informasi dasar tentang cara menambahkan grup aturan terkelola ke paket perlindungan Anda (web ACL), lihat[Menambahkan grup aturan terkelola ke paket perlindungan (web ACL) melalui konsol](waf-using-managed-rule-group.md).

**Ikuti praktik terbaik**  
Gunakan kelompok aturan DDo Anti-S sesuai dengan praktik terbaik di[Praktik terbaik untuk mitigasi ancaman cerdas di AWS WAF](waf-managed-protections-best-practices.md). 

**Untuk menggunakan grup `AWSManagedRulesAntiDDoSRuleSet` aturan dalam paket perlindungan Anda (web ACL)**

1. Tambahkan grup aturan AWS terkelola, `AWSManagedRulesAntiDDoSRuleSet` ke paket perlindungan (web ACL), dan **Edit** pengaturan grup aturan sebelum menyimpan. 
**catatan**  
Anda akan dikenakan biaya tambahan saat menggunakan grup aturan terkelola ini. Untuk informasi selengkapnya, silakan lihat [Harga AWS WAF](https://aws.amazon.com/waf/pricing/).

1. Di panel **konfigurasi grup Aturan**, berikan konfigurasi kustom apa pun untuk grup `AWSManagedRulesAntiDDoSRuleSet` aturan. 

   1. Untuk **tingkat sensitivitas Blok**, tentukan seberapa sensitif aturan `DDoSRequests` yang Anda inginkan saat mencocokkan label kecurigaan DDo S grup aturan. Semakin tinggi sensitivitasnya, semakin rendah tingkat pelabelan yang cocok dengan aturan: 
      + Sensitivitas rendah kurang sensitif, menyebabkan aturan hanya cocok pada peserta yang paling jelas dalam serangan, yang memiliki label `awswaf:managed:aws:anti-ddos:high-suspicion-ddos-request` kecurigaan tinggi.
      + Sensitivitas sedang menyebabkan aturan cocok pada label kecurigaan sedang dan tinggi.
      + Sensitivitas tinggi menyebabkan aturan cocok pada semua label kecurigaan: rendah, sedang, dan tinggi.

      Aturan ini memberikan penanganan permintaan web yang paling parah yang dicurigai berpartisipasi dalam serangan DDo S. 

   1. Untuk **tantangan Aktifkan**, pilih apakah akan mengaktifkan aturan `ChallengeDDoSRequests` dan`ChallengeAllDuringEvent`, yang secara default menerapkan Challenge tindakan ke permintaan yang cocok. 

      Aturan ini menyediakan penanganan permintaan yang dimaksudkan untuk mengizinkan pengguna yang sah untuk melanjutkan permintaan mereka sambil memblokir peserta dalam serangan DDo S. Anda dapat mengganti pengaturan tindakan mereka ke Allow atau Count atau Anda dapat menonaktifkan penggunaannya sepenuhnya.

      Jika Anda mengaktifkan aturan ini, berikan konfigurasi tambahan apa pun yang Anda inginkan: 
      + Untuk **tingkat sensitivitas Tantangan**, tentukan seberapa sensitif aturan yang `ChallengeDDoSRequests` Anda inginkan. 

        Semakin tinggi sensitivitasnya, semakin rendah tingkat pelabelan yang cocok dengan aturan: 
        + Sensitivitas rendah kurang sensitif, menyebabkan aturan hanya cocok pada peserta yang paling jelas dalam serangan, yang memiliki label `awswaf:managed:aws:anti-ddos:high-suspicion-ddos-request` kecurigaan tinggi.
        + Sensitivitas sedang menyebabkan aturan cocok pada label kecurigaan sedang dan tinggi.
        + Sensitivitas tinggi menyebabkan aturan cocok pada semua label kecurigaan: rendah, sedang, dan tinggi.
      + Untuk **ekspresi reguler URI yang dikecualikan**, berikan ekspresi reguler yang cocok dengan permintaan web yang tidak dapat menangani tantangan browser senyap. URIs ChallengeTindakan ini akan secara efektif memblokir permintaan dari URIs yang kehilangan token tantangan kecuali mereka dapat menangani tantangan browser diam. 

        ChallengeTindakan hanya dapat ditangani dengan benar oleh klien yang mengharapkan konten HTML. Untuk informasi selengkapnya tentang cara kerja tindakan, lihat[CAPTCHAdan perilaku Challenge tindakan](waf-captcha-and-challenge-actions.md). 

        Tinjau ekspresi reguler default dan perbarui sesuai kebutuhan. Aturan menggunakan ekspresi reguler yang ditentukan untuk mengidentifikasi permintaan URIs yang tidak dapat menangani Challenge tindakan dan mencegah aturan mengirim tantangan kembali. Permintaan yang Anda kecualikan dengan cara ini hanya dapat diblokir oleh grup aturan dengan aturan`DDoSRequests`. 

        Ekspresi default yang disediakan di konsol mencakup sebagian besar kasus penggunaan, tetapi Anda harus meninjau dan menyesuaikannya untuk aplikasi Anda. 

        AWS WAF mendukung sintaks pola yang digunakan oleh pustaka PCRE `libpcre` dengan beberapa pengecualian. Pustaka didokumentasikan di [PCRE - Perl Compatible](http://www.pcre.org/) Regular Expressions. Untuk informasi tentang AWS WAF dukungan, lihat[Sintaks ekspresi reguler yang didukung di AWS WAF](waf-regex-pattern-support.md).

1. Berikan konfigurasi tambahan apa pun yang Anda inginkan untuk grup aturan dan simpan aturannya. 
**catatan**  
AWS merekomendasikan untuk tidak menggunakan pernyataan scope-down dengan grup aturan terkelola ini. Pernyataan cakupan bawah membatasi permintaan yang diamati oleh kelompok aturan, sehingga dapat mengakibatkan garis dasar lalu lintas yang tidak akurat dan berkurangnya deteksi peristiwa S. DDo Opsi pernyataan cakupan bawah tersedia untuk semua pernyataan grup aturan terkelola, tetapi tidak boleh digunakan untuk yang ini. Untuk informasi tentang pernyataan cakupan bawah, lihat. [Menggunakan pernyataan scope-down di AWS WAF](waf-rule-scope-down-statements.md)

1. Di halaman **prioritas aturan Set**, pindahkan aturan grup aturan terkelola DDo anti-S yang baru sehingga hanya berjalan setelah aturan Allow tindakan apa pun yang Anda miliki dan sebelum aturan lainnya. Ini memberi kelompok aturan kemampuan untuk melacak lalu lintas terbanyak untuk perlindungan DDo Anti-S. 

1. Simpan perubahan Anda ke paket perlindungan (web ACL). 

Sebelum Anda menerapkan implementasi DDo anti-S Anda untuk lalu lintas produksi, uji dan sesuaikan di lingkungan pementasan atau pengujian sampai Anda merasa nyaman dengan potensi dampak terhadap lalu lintas Anda. Kemudian uji dan atur aturan dalam mode hitungan dengan lalu lintas produksi Anda sebelum mengaktifkannya. Lihat bagian berikut untuk panduan. 

# Menguji dan menerapkan DDo Anti-S
<a name="waf-anti-ddos-deploying"></a>

Anda akan ingin mengkonfigurasi dan menguji pencegahan AWS WAF Distributed Denial of Service (DDoS) sebelum menerapkan fitur. Bagian ini memberikan panduan umum untuk mengkonfigurasi dan menguji, namun langkah-langkah spesifik yang Anda pilih untuk diikuti akan tergantung pada kebutuhan, sumber daya, dan permintaan web yang Anda terima. 

Informasi ini merupakan tambahan dari informasi umum tentang pengujian dan penyetelan yang disediakan di[Menguji dan menyetel perlindungan Anda AWS WAF](web-acl-testing.md).

**catatan**  
AWS Aturan Terkelola dirancang untuk melindungi Anda dari ancaman web umum. Bila digunakan sesuai dengan dokumentasi, grup aturan Aturan AWS Terkelola menambahkan lapisan keamanan lain untuk aplikasi Anda. Namun, grup aturan Aturan AWS Terkelola tidak dimaksudkan sebagai pengganti tanggung jawab keamanan Anda, yang ditentukan oleh AWS sumber daya yang Anda pilih. Lihat [Model Tanggung Jawab Bersama](https://aws.amazon.com/compliance/shared-responsibility-model/) untuk memastikan bahwa sumber daya Anda AWS dilindungi dengan benar. 

**Risiko lalu lintas produksi**  
Uji dan sesuaikan implementasi DDo anti-S Anda di lingkungan pementasan atau pengujian sampai Anda merasa nyaman dengan potensi dampak terhadap lalu lintas Anda. Kemudian uji dan atur aturan dalam mode hitungan dengan lalu lintas produksi Anda sebelum mengaktifkannya. 

Panduan ini ditujukan untuk pengguna yang tahu secara umum cara membuat dan mengelola paket AWS WAF perlindungan (web ACLs), aturan, dan grup aturan. Topik-topik tersebut dibahas di bagian sebelumnya dari panduan ini. 

**Untuk mengkonfigurasi dan menguji implementasi pencegahan AWS WAF Distributed Denial of Service (DDoS)**

Lakukan langkah-langkah ini terlebih dahulu di lingkungan pengujian, kemudian dalam produksi.

1. 

**Tambahkan grup aturan terkelola pencegahan AWS WAF Distributed Denial of Service (DDoS) dalam mode hitungan**
**catatan**  
Anda akan dikenakan biaya tambahan saat menggunakan grup aturan terkelola ini. Untuk informasi selengkapnya, silakan lihat [Harga AWS WAF](https://aws.amazon.com/waf/pricing/).

   Tambahkan grup aturan Aturan AWS Terkelola `AWSManagedRulesAntiDDoSRuleSet` ke paket perlindungan baru atau yang sudah ada (web ACL) dan konfigurasikan agar tidak mengubah perilaku paket perlindungan (web ACL) saat ini. Untuk detail tentang aturan dan label untuk grup aturan ini, lihat[AWS WAF Kelompok aturan pencegahan Denial of Service (DDoS) Terdistribusi](aws-managed-rule-groups-anti-ddos.md).
   + Saat Anda menambahkan grup aturan terkelola, edit dan lakukan hal berikut: 
     + Di panel **konfigurasi grup Aturan**, berikan detail yang diperlukan untuk melakukan aktivitas DDo anti-S untuk lalu lintas web Anda. Untuk informasi selengkapnya, lihat [Menambahkan grup aturan terkelola Anti- DDo S ke paket perlindungan Anda (web ACL)](waf-anti-ddos-rg-using.md).
     + Di panel **Aturan**, buka dropdown **Override all rule actions** dan pilih. **Count** Dengan konfigurasi ini, AWS WAF mengevaluasi permintaan terhadap semua aturan dalam grup aturan dan hanya menghitung kecocokan yang dihasilkan, sambil tetap menambahkan label ke permintaan. Untuk informasi selengkapnya, lihat [Mengesampingkan tindakan aturan dalam grup aturan](web-acl-rule-group-settings.md#web-acl-rule-group-rule-action-override).

       Dengan penggantian ini, Anda dapat memantau dampak potensial dari aturan terkelola Anti- DDo S untuk menentukan apakah Anda ingin melakukan modifikasi, seperti memperluas regex untuk URIs yang tidak dapat menangani tantangan browser diam. 
   + Posisikan grup aturan sehingga dievaluasi sedini mungkin, segera setelah aturan apa pun yang memungkinkan lalu lintas. Aturan dievaluasi dalam urutan prioritas numerik menaik. Konsol menetapkan urutan untuk Anda, mulai dari bagian atas daftar aturan Anda. Untuk informasi selengkapnya, lihat [Menetapkan prioritas aturan](web-acl-processing-order.md). 

1. 

**Aktifkan pencatatan dan metrik untuk paket perlindungan (web ACL)**

   Jika diperlukan, konfigurasikan pencatatan, pengumpulan data Amazon Security Lake, pengambilan sampel permintaan, dan CloudWatch metrik Amazon untuk paket perlindungan (web ACL). Anda dapat menggunakan alat visibilitas ini untuk memantau interaksi grup aturan terkelola Anti DDo S dengan lalu lintas Anda. 
   + Untuk informasi tentang mengonfigurasi dan menggunakan logging, lihat[Lalu lintas paket AWS WAF perlindungan pencatatan (web ACL)](logging.md). 
   + Untuk informasi tentang Amazon Security Lake, lihat [Apa itu Amazon Security Lake?](https://docs.aws.amazon.com/security-lake/latest/userguide/what-is-security-lake.html) dan [Mengumpulkan data dari AWS layanan](https://docs.aws.amazon.com/security-lake/latest/userguide/internal-sources.html) di *panduan pengguna Amazon Security Lake*. 
   + Untuk informasi tentang CloudWatch metrik Amazon, lihat[Pemantauan CloudWatch dengan Amazon](monitoring-cloudwatch.md). 
   + Untuk informasi tentang pengambilan sampel permintaan web, lihat[Melihat contoh permintaan web](web-acl-testing-view-sample.md). 

1. 

**Kaitkan paket perlindungan (web ACL) dengan sumber daya**

   Jika paket perlindungan (web ACL) belum dikaitkan dengan sumber daya pengujian, kaitkan. Untuk informasi, lihat [Mengaitkan atau memisahkan perlindungan dengan sumber daya AWS](web-acl-associating-aws-resource.md).

1. 

**Pantau lalu lintas dan kecocokan aturan DDo Anti-S**

   Pastikan lalu lintas normal Anda mengalir dan aturan grup aturan terkelola Anti- DDo S menambahkan label ke permintaan web yang cocok. Anda dapat melihat label di log dan melihat metrik DDo Anti-S dan label di metrik Amazon CloudWatch . Di log, aturan yang telah Anda ganti untuk dihitung dalam grup aturan muncul di `action` set to count, dan `ruleGroupList` dengan `overriddenAction` menunjukkan tindakan aturan yang dikonfigurasi yang Anda timpa. 

1. 

**Kustomisasi penanganan permintaan web DDo Anti-S**

   Jika diperlukan, tambahkan aturan Anda sendiri yang secara eksplisit mengizinkan atau memblokir permintaan, untuk mengubah cara aturan DDo Anti-S akan menanganinya. 

   Misalnya, Anda dapat menggunakan label DDo Anti-S untuk mengizinkan atau memblokir permintaan atau untuk menyesuaikan penanganan permintaan. Anda dapat menambahkan aturan pencocokan label setelah grup aturan terkelola Anti- DDo S untuk memfilter permintaan berlabel untuk penanganan yang ingin Anda terapkan. Setelah pengujian, pertahankan aturan DDo Anti-S terkait dalam mode hitungan, dan pertahankan keputusan penanganan permintaan dalam aturan kustom Anda. 

1. 

**Hapus aturan pengujian dan konfigurasikan pengaturan DDo Anti-S**

   Tinjau hasil pengujian Anda untuk menentukan aturan DDo Anti-S mana yang ingin Anda pertahankan dalam mode hitungan hanya untuk pemantauan. Untuk aturan apa pun yang ingin Anda jalankan dengan perlindungan aktif, nonaktifkan mode hitungan dalam konfigurasi grup aturan paket perlindungan (web ACL) untuk memungkinkan mereka melakukan tindakan yang dikonfigurasi. Setelah Anda menyelesaikan pengaturan ini, hapus aturan pencocokan label uji sementara sambil mempertahankan aturan kustom apa pun yang Anda buat untuk penggunaan produksi. Untuk pertimbangan konfigurasi DDo Anti-S tambahan, lihat[Praktik terbaik untuk mitigasi ancaman cerdas di AWS WAF](waf-managed-protections-best-practices.md).

1. 

**Memantau dan menyetel**

   Untuk memastikan bahwa permintaan web ditangani seperti yang Anda inginkan, pantau lalu lintas Anda dengan cermat setelah Anda mengaktifkan fungsi DDo Anti-S yang ingin Anda gunakan. Sesuaikan perilaku sesuai kebutuhan dengan penggantian hitungan aturan pada grup aturan dan dengan aturan Anda sendiri. 

# Praktik Terbaik untuk DDo Anti-S
<a name="waf-anti-ddos-best-practices"></a>
+ **Aktifkan perlindungan selama periode lalu lintas normal** — Ini memungkinkan perlindungan untuk menetapkan pola lalu lintas dasar sebelum menanggapi serangan. Tambahkan perlindungan saat Anda tidak mengalami serangan dan berikan waktu untuk pembentukan dasar.
+ **Pantau metrik secara teratur** — Tinjau CloudWatch metrik untuk memahami pola lalu lintas dan efektivitas perlindungan.
+ **Pertimbangkan mode proaktif untuk aplikasi kritis** — Meskipun mode reaktif direkomendasikan untuk sebagian besar kasus penggunaan, pertimbangkan untuk menggunakan mode proaktif untuk aplikasi yang memerlukan perlindungan berkelanjutan terhadap ancaman yang diketahui.
+ **Uji di lingkungan pementasan** — Sebelum mengaktifkan perlindungan dalam produksi, uji dan sesuaikan pengaturan di lingkungan pementasan untuk memahami dampak pada lalu lintas yang sah.