Aggiungere il gruppo di regole gestito DDo Anti-S al pacchetto di protezione o all'ACL Web - AWS WAF, AWS Firewall ManagerAWS Shield Advanced, e direttore AWS Shield della sicurezza di rete

Ti presentiamo una nuova esperienza di console per AWS WAF

Ora puoi utilizzare l'esperienza aggiornata per accedere alle AWS WAF funzionalità da qualsiasi punto della console. Per ulteriori dettagli, consulta Utilizzo dell'esperienza console aggiornata.

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Aggiungere il gruppo di regole gestito DDo Anti-S al pacchetto di protezione o all'ACL Web

Questa sezione spiega come aggiungere e configurare il gruppo di AWSManagedRulesAntiDDoSRuleSet regole.

Per configurare il gruppo di regole gestito DDo Anti-S, si forniscono impostazioni che includono la sensibilità del gruppo di regole agli attacchi DDo S e le azioni che intraprende sulle richieste che partecipano o potrebbero partecipare agli attacchi. Questa configurazione si aggiunge alla normale configurazione per un gruppo di regole gestito.

Per la descrizione del gruppo di regole e l'elenco delle regole e delle etichette, vedereAWS WAF Gruppo di regole di prevenzione Distributed Denial of Service (DDoS).

Questa guida è destinata agli utenti che sanno in generale come creare e gestire AWS WAF Protection Pack o Web ACLs, regole e gruppi di regole. Questi argomenti sono trattati nelle sezioni precedenti di questa guida. Per informazioni di base su come aggiungere un gruppo di regole gestito al pacchetto di protezione o all'ACL Web, vedereAggiungere un gruppo di regole gestito a un pacchetto di protezione o ACL Web tramite la console.

Segui le migliori pratiche

Utilizza il gruppo di regole DDo Anti-S in conformità con le migliori pratiche riportate inLe migliori pratiche per la mitigazione intelligente delle minacce in AWS WAF.

Per utilizzare il gruppo di AWSManagedRulesAntiDDoSRuleSet regole nel pacchetto di protezione o nell'ACL Web

  1. Aggiungi il gruppo di regole AWS gestito AWSManagedRulesAntiDDoSRuleSet al tuo protection pack o all'ACL web e modifica le impostazioni del gruppo di regole prima di salvare.

    Nota

    Quando utilizzi questo gruppo di regole gestito, ti vengono addebitati costi aggiuntivi. Per ulteriori informazioni, consultare AWS WAF Prezzi.

  2. Nel riquadro di configurazione del gruppo di regole, fornisci qualsiasi configurazione personalizzata per il gruppo di AWSManagedRulesAntiDDoSRuleSet regole.

    1. Per il livello di sensibilità del blocco, specifica quanto vuoi che sia sensibile la regola DDoSRequests al momento della corrispondenza nell'etichettatura DDo S suspicion del gruppo di regole. Maggiore è la sensibilità, minori sono i livelli di etichettatura a cui corrisponde la regola:

      • Una sensibilità bassa è meno sensibile, per cui la regola si applica solo ai partecipanti più evidenti a un attacco, che hanno l'etichetta di alto sospetto. awswaf:managed:aws:anti-ddos:high-suspicion-ddos-request

      • Una sensibilità media fa sì che la regola corrisponda sulle etichette di sospetto medio e alto.

      • L'elevata sensibilità fa sì che la regola corrisponda su tutte le etichette di sospetto: bassa, media e alta.

      Questa regola fornisce la gestione più rigorosa delle richieste Web sospettate di partecipare ad attacchi S. DDo

    2. Per Enable challenge, scegli se abilitare le regole ChallengeDDoSRequests eChallengeAllDuringEvent, per impostazione predefinita, applicare l'Challengeazione alle richieste corrispondenti.

      Queste regole forniscono una gestione delle richieste che ha lo scopo di consentire agli utenti legittimi di procedere con le loro richieste bloccando al contempo i partecipanti all'attacco DDo S. Puoi sovrascrivere le loro impostazioni di azione Allow Count o disabilitarne completamente l'uso.

      Se abiliti queste regole, fornisci la configurazione aggiuntiva che desideri:

      • Per il livello di sensibilità alla sfida, specifica quanto vuoi che sia sensibile ChallengeDDoSRequests la regola.

        Maggiore è la sensibilità, minori sono i livelli di etichettatura a cui corrisponde la regola:

        • Una sensibilità bassa è meno sensibile, per cui la regola si applica solo ai partecipanti più evidenti a un attacco, che hanno l'etichetta di alto sospetto. awswaf:managed:aws:anti-ddos:high-suspicion-ddos-request

        • Una sensibilità media fa sì che la regola corrisponda sulle etichette di sospetto medio e alto.

        • L'elevata sensibilità fa sì che la regola corrisponda su tutte le etichette di sospetto: bassa, media e alta.

      • Per le espressioni regolari con URI esenti, fornite un'espressione regolare che corrisponda alle URIs richieste Web che non sono in grado di gestire una sfida silenziosa del browser. L'Challengeazione bloccherà efficacemente le richieste URIs che non dispongono del token di sfida, a meno che non siano in grado di gestire la sfida silenziosa del browser.

        L'Challengeazione può essere gestita correttamente solo da un client che prevede contenuti HTML. Per ulteriori informazioni su come funziona l'azione, consulta. CAPTCHAe comportamento Challenge d'azione

        Esaminate l'espressione regolare predefinita e aggiornatela secondo necessità. Le regole utilizzano l'espressione regolare specificata per identificare le richieste URIs che non sono in grado di gestire l'Challengeazione e impedire alle regole di inviare una richiesta di risposta. Le richieste che escludi in questo modo possono essere bloccate solo dal gruppo di regole con la regolaDDoSRequests.

        L'espressione predefinita fornita nella console copre la maggior parte dei casi d'uso, ma è necessario esaminarla e adattarla alla propria applicazione.

        AWS WAF supporta la sintassi del pattern utilizzata dalla libreria PCRE libpcre con alcune eccezioni. La libreria è documentata in PCRE - Perl Compatible Regular Expressions. Per informazioni sul AWS WAF supporto, vedere. Sintassi delle espressioni regolari supportata in AWS WAF

  3. Fornisci qualsiasi configurazione aggiuntiva che desideri per il gruppo di regole e salva la regola.

    Nota

    AWS sconsiglia di utilizzare un'istruzione scope-down con questo gruppo di regole gestito. L'istruzione scope-down limita le richieste osservate dal gruppo di regole e quindi può comportare una linea di base del traffico imprecisa e una riduzione del rilevamento degli eventi S. DDo L'opzione scope-down statement è disponibile per tutte le istruzioni del gruppo di regole gestite, ma non deve essere utilizzata per questa. Per informazioni sulle istruzioni scope-down, vedere. Utilizzo di istruzioni scope-down in AWS WAF

  4. Nella pagina Imposta la priorità delle regole, sposta in alto la nuova regola del gruppo di regole gestite DDo anti-S in modo che venga eseguita solo dopo ogni regola Allow d'azione esistente e prima di qualsiasi altra regola. Ciò offre al gruppo di regole la possibilità di tracciare la maggior parte del traffico per la protezione DDo Anti-S.

  5. Salva le modifiche al pacchetto di protezione o all'ACL web.

Prima di implementare l'implementazione DDo anti-S per il traffico di produzione, testala e ottimizzala in un ambiente di staging o test finché non ti senti a tuo agio con il potenziale impatto sul traffico. Quindi testa e ottimizza le regole in modalità di conteggio con il traffico di produzione prima di attivarle. Per informazioni, consulta la sezione che segue.