AWS WAF Gruppo di regole di prevenzione Distributed Denial of Service (DDoS) - AWS WAF, AWS Firewall ManagerAWS Shield Advanced, e direttore AWS Shield della sicurezza di rete
Utilizzo di questo gruppo di regoleEtichette aggiunte da questo gruppo di regoleElenco delle regole

Ti presentiamo una nuova esperienza di console per AWS WAF

Ora puoi utilizzare l'esperienza aggiornata per accedere alle AWS WAF funzionalità da qualsiasi punto della console. Per ulteriori dettagli, consulta Utilizzo dell'esperienza console aggiornata.

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

AWS WAF Gruppo di regole di prevenzione Distributed Denial of Service (DDoS)

Questa sezione descrive il gruppo di regole AWS WAF gestito per la protezione dagli attacchi Distributed Denial of Service (S)DDo.

VendorName:AWS, Nome:AWSManagedRulesAntiDDoSRuleSet, WCU: 50

Nota

Questa documentazione riguarda la versione statica più recente di questo gruppo di regole gestito. Riportiamo le modifiche alla versione nel registro delle modifiche all'indirizzo. AWS Registro delle modifiche di Managed Rules Per informazioni su altre versioni, usa il comando API. DescribeManagedRuleGroup

Le informazioni che pubblichiamo per le regole nei gruppi di regole AWS Managed Rules hanno lo scopo di fornirti ciò di cui hai bisogno per utilizzare le regole senza fornire ai malintenzionati ciò di cui hanno bisogno per aggirarle.

Se hai bisogno di più informazioni di quelle che trovi qui, contatta il Supporto AWS Centro.

Il gruppo di regole gestito DDo Anti-S fornisce regole che rilevano e gestiscono le richieste che partecipano o potrebbero partecipare agli attacchi DDo S. Inoltre, il gruppo di regole etichetta tutte le richieste che valuta durante un probabile evento.

Considerazioni sull'utilizzo di questo gruppo di regole

Questo gruppo di regole fornisce mitigazioni morbide e rigide per le richieste Web che arrivano a risorse DDo sottoposte a attacco S. Per rilevare diversi livelli di minaccia, è possibile regolare la sensibilità di entrambi i tipi di mitigazione su livelli di sospetto alti, medi o bassi.

  • Mitigazione graduale: il gruppo di regole può inviare sfide silenziose al browser in risposta a richieste in grado di gestire la sfida interstitial. Per informazioni sui requisiti per l'esecuzione della sfida, consulta. CAPTCHAe comportamento Challenge d'azione

  • Difficile mitigazione: il gruppo di regole può bloccare completamente le richieste.

Per ulteriori informazioni su come funziona il gruppo di regole e su come configurarlo, consulta. Protezione DDo anti-S avanzata con il gruppo di regole gestito AWS WAF Anti- DDo S

Nota

Quando utilizzi questo gruppo di regole gestito, ti vengono addebitati costi aggiuntivi. Per ulteriori informazioni, consultare AWS WAF Prezzi.

Questo gruppo di regole fa parte delle protezioni intelligenti di mitigazione delle minacce di. AWS WAF Per informazioni, consultare Mitigazione intelligente delle minacce in AWS WAF.

Per ridurre al minimo i costi e ottimizzare la gestione del traffico, utilizza questo gruppo di regole in conformità alle linee guida sulle migliori pratiche. Per informazioni, consultare Le migliori pratiche per la mitigazione intelligente delle minacce in AWS WAF.

Etichette aggiunte da questo gruppo di regole

Questo gruppo di regole gestito aggiunge etichette alle richieste Web che valuta, che sono disponibili per le regole che seguono questo gruppo di regole nel Protection Pack o nell'ACL Web. AWS WAF registra anche le etichette in base ai CloudWatch parametri di Amazon. Per informazioni generali sulle etichette e sui parametri delle etichette, consulta Etichettatura delle richieste Web e. Metriche e dimensioni delle etichette

Etichette con token

Questo gruppo di regole utilizza la gestione dei AWS WAF token per ispezionare ed etichettare le richieste Web in base allo stato dei relativi AWS WAF token. AWS WAF utilizza i token per il monitoraggio e la verifica delle sessioni dei clienti.

Per informazioni sui token e sulla gestione dei token, vedere. Uso dei token nella mitigazione AWS WAF intelligente delle minacce

Per informazioni sui componenti dell'etichetta descritti qui, vedereSintassi delle etichette e requisiti di denominazione in AWS WAF.

Etichetta della sessione del client

L'etichetta awswaf:managed:token:id:identifier contiene un identificatore univoco utilizzato dalla gestione dei AWS WAF token per identificare la sessione client. L'identificatore può cambiare se il client acquisisce un nuovo token, ad esempio dopo aver scartato il token che stava utilizzando.

Nota

AWS WAF non riporta le CloudWatch metriche di Amazon per questa etichetta.

Etichetta con impronta digitale del browser

L'etichetta awswaf:managed:token:fingerprint:fingerprint-identifier contiene un robusto identificatore di impronte digitali del browser che la gestione dei AWS WAF token calcola a partire da vari segnali del browser del client. Questo identificatore rimane lo stesso in caso di più tentativi di acquisizione di token. L'identificatore di impronte digitali non è univoco per un singolo client.

Nota

AWS WAF non riporta le CloudWatch metriche di Amazon per questa etichetta.

Etichette di stato dei token: etichetta i prefissi dello spazio dei nomi

Le etichette di stato dei token riportano lo stato del token e le informazioni sulla sfida e sul CAPTCHA in esso contenute.

Ogni etichetta di stato del token inizia con uno dei seguenti prefissi dello spazio dei nomi:

  • awswaf:managed:token:— Utilizzata per riportare lo stato generale del token e per riportare lo stato delle informazioni sulla sfida del token.

  • awswaf:managed:captcha:— Utilizzato per riportare lo stato delle informazioni CAPTCHA del token.

Etichette di stato dei token: nomi delle etichette

Dopo il prefisso, il resto dell'etichetta fornisce informazioni dettagliate sullo stato del token:

  • accepted— Il token di richiesta è presente e contiene quanto segue:

    • Una sfida o una soluzione CAPTCHA valida.

    • Una sfida o un timestamp CAPTCHA non scaduti.

    • Una specifica di dominio valida per il pacchetto di protezione o l'ACL web.

    Esempio: l'etichetta awswaf:managed:token:accepted indica che il token delle richieste Web ha una soluzione di sfida valida, un timestamp della sfida non scaduto e un dominio valido.

  • rejected— Il token di richiesta è presente ma non soddisfa i criteri di accettazione.

    Oltre all'etichetta rifiutata, la gestione dei token aggiunge uno spazio dei nomi e un nome personalizzati per indicare il motivo.

    • rejected:not_solved— Al token manca la sfida o la soluzione CAPTCHA.

    • rejected:expired— La sfida o il timestamp CAPTCHA del token sono scaduti, in base ai tempi di immunità del token configurati dal pacchetto di protezione o dai tempi di immunità del token configurati da web ACL.

    • rejected:domain_mismatch— Il dominio del token non corrisponde alla configurazione del tuo pacchetto di protezione o del dominio del token web ACL.

    • rejected:invalid— non è AWS WAF riuscito a leggere il token indicato.

    Esempio: l'awswaf:managed:captcha:rejected:expiredinsieme delle etichette awswaf:managed:captcha:rejected indica che la richiesta non aveva una risoluzione CAPTCHA valida perché il timestamp CAPTCHA nel token ha superato il tempo di immunità del token CAPTCHA configurato nel protection pack o nell'ACL web.

  • absent— La richiesta non contiene il token o il gestore del token non è riuscito a leggerlo.

    Esempio: l'etichetta awswaf:managed:captcha:absent indica che la richiesta non ha il token.

Etichette DDo anti-S

Il gruppo di regole gestito Anti- DDo S genera etichette con il prefisso dello spazio dei nomi awswaf:managed:aws:anti-ddos: seguito da qualsiasi spazio dei nomi personalizzato e dal nome dell'etichetta. Ogni etichetta riflette alcuni aspetti dei risultati di Anti-S. DDo

Il gruppo di regole può aggiungere più di una delle seguenti etichette a una richiesta, oltre alle etichette aggiunte dalle singole regole.

  • awswaf:managed:aws:anti-ddos:event-detected— Indica che la richiesta sta andando a una risorsa protetta per la quale il gruppo di regole gestito rileva un evento DDo S. Il gruppo di regole gestito rileva gli eventi quando il traffico verso la risorsa presenta una deviazione significativa dalla linea di base del traffico della risorsa.

    Il gruppo di regole aggiunge questa etichetta a ogni richiesta inviata alla risorsa mentre si trova in questo stato, quindi il traffico legittimo e il traffico di attacco ottengono questa etichetta.

  • awswaf:managed:aws:anti-ddos:ddos-request— Indica che la richiesta proviene da una fonte sospettata di partecipare a un evento.

    Oltre all'etichetta generale, il gruppo di regole aggiunge le seguenti etichette che indicano il livello di confidenza.

    awswaf:managed:aws:anti-ddos:low-suspicion-ddos-request— Indica una probabile richiesta DDo di attacco S.

    awswaf:managed:aws:anti-ddos:medium-suspicion-ddos-request— Indica una richiesta di attacco DDo S molto probabile.

    awswaf:managed:aws:anti-ddos:high-suspicion-ddos-request— Indica una richiesta di attacco DDo S molto probabile.

  • awswaf:managed:aws:anti-ddos:challengeable-request— Indica che l'URI della richiesta è in grado di gestire l'Challengeazione. Il gruppo di regole gestito lo applica a qualsiasi richiesta il cui URI non sia esentato. URIs sono esentati se corrispondono alle espressioni regolari URI esenti del gruppo di regole.

    Per informazioni sui requisiti per le richieste che possono accettare una sfida silenziosa del browser, consulta. CAPTCHAe comportamento Challenge d'azione

È possibile recuperare tutte le etichette per un gruppo di regole tramite l'API DescribeManagedRuleGroup chiamando. Le etichette sono elencate nella AvailableLabels proprietà nella risposta.

Il gruppo di regole gestite DDo Anti-S applica le etichette alle richieste, ma non sempre agisce su di esse. La gestione delle richieste dipende dalla sicurezza con cui il gruppo di regole determina la partecipazione a un attacco. Se lo desideri, puoi gestire le richieste etichettate dal gruppo di regole aggiungendo una regola di abbinamento delle etichette che viene applicata dopo il gruppo di regole. Per ulteriori informazioni su questo argomento ed esempi, vedereAWS WAF Prevenzione del Denial of Service (DDoS) distribuito.

Elenco delle regole DDo anti-S

Questa sezione elenca le regole DDo Anti-S.

Nota

Questa documentazione riguarda la versione statica più recente di questo gruppo di regole gestito. Riportiamo le modifiche alla versione nel registro delle modifiche all'indirizzo. AWS Registro delle modifiche di Managed Rules Per informazioni su altre versioni, usa il comando API. DescribeManagedRuleGroup

Le informazioni che pubblichiamo per le regole nei gruppi di regole AWS Managed Rules hanno lo scopo di fornirti ciò di cui hai bisogno per utilizzare le regole senza fornire ai malintenzionati ciò di cui hanno bisogno per aggirarle.

Se hai bisogno di più informazioni di quelle che trovi qui, contatta il Supporto AWS Centro.

Nome regola Descrizione
ChallengeAllDuringEvent

Corrisponde alle richieste che hanno l'etichetta awswaf:managed:aws:anti-ddos:challengeable-request per qualsiasi risorsa protetta attualmente sotto attacco.

Operazione delle regole: Challenge

È possibile sostituire l'azione di questa regola solo con Allow oCount. L'uso di non Allow è consigliato. Per qualsiasi impostazione di azione relativa alle regole, la regola corrisponde solo alle richieste che hanno l'challengeable-requestetichetta.

La configurazione di questa regola influisce sulla valutazione della regola successiva,ChallengeDDoSRequests. AWS WAF valuta tale regola solo quando l'azione per questa regola è impostata suCount, nella configurazione Web ACL del gruppo di regole gestito.

Se il tuo carico di lavoro è vulnerabile a modifiche impreviste del volume delle richieste, ti consigliamo di contestare tutte le richieste contestabili, mantenendo l'impostazione di azione predefinita di. Challenge Per le applicazioni meno sensibili, puoi impostare l'azione relativa a questa regola Count e quindi regolare la sensibilità delle tue Challenge risposte in base alla regola. ChallengeDDoSRequests

Etichette: awswaf:managed:aws:anti-ddos:ChallengeAllDuringEvent

ChallengeDDoSRequests

Corrisponde alle richieste di una risorsa protetta che soddisfano o superano l'impostazione di sensibilità alle sfide configurata dal gruppo di regole, durante i periodi in cui la risorsa è sotto attacco.

Operazione delle regole: Challenge

È possibile sostituire l'azione di questa regola solo con Allow oCount. L'uso di non Allow è consigliato. In ogni caso, la regola corrisponde solo alle richieste che hanno l'challengeable-requestetichetta.

AWS WAF valuta questa regola solo se si sostituisce l'azione della regola precedente,. Count ChallengeAllDuringEvent

Etichette: awswaf:managed:aws:anti-ddos:ChallengeDDoSRequests

DDoSRequests

Corrisponde alle richieste di una risorsa protetta che soddisfano o superano l'impostazione di sensibilità ai blocchi configurata del gruppo di regole, durante i periodi in cui la risorsa è sotto attacco.

Operazione delle regole: Block

Etichette: awswaf:managed:aws:anti-ddos:DDoSRequests