の新しいコンソールエクスペリエンスの紹介 AWS WAF
更新されたエクスペリエンスを使用して、 コンソールの任意の場所で AWS WAF 機能にアクセスできるようになりました。詳細については、「コンソールの使用」を参照してください。
翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
AWS WAF 分散サービス拒否 (DDoS) の防止
AWS WAF は、 AWS リソース内の DDoS 攻撃に対する高度でカスタマイズ可能な保護を提供します。このセクションで説明されているオプションを確認し、セキュリティとビジネスニーズを満たす DDoS 対策保護のレベルを選択します。
AWS WAFでは、2 つの DDoS 保護階層から選択できます。
- リソースレベルの DDoS 保護
-
標準階層は、Application Load Balancer 内で動作し、ホストフィルタリングを通じて既知の悪意のあるソースから保護します。潜在的な DDoS イベントに最もよく反応するように保護動作を設定できます。
リソースレベルの DDoS 保護:
トラフィックパターンを自動的にモニタリングします。
脅威インテリジェンスをリアルタイムで更新します。
既知の悪意のあるソースから保護します。
Application Load Balancer のウェブ ACL リクエストコストを最適化するには
リソースレベルの保護を有効にするには、ウェブ ACL を Application Load Balancer に関連付ける必要があります。Application Load Balancer が設定のないウェブ ACL に関連付けられている場合、 AWS WAF リクエストに対して料金は発生しませんが、CloudWatch メトリクスの Application Load Balancer に対してサンプルリクエストやレポートを提供し AWS WAF ません。Application Load Balancer のオブザーバビリティ機能を有効にするには、次のアクションを実行できます。
-
DefaultActionのカスタムリクエストヘッダーでAllowアクションまたはBlockアクションを使用します。詳細については、「ノンブロッキングアクションのためのカスタムリクエストヘッダーの挿入」を参照してください。 -
任意のルールをウェブ ACL に追加します。詳細については、「AWS WAF ルール」を参照してください。
-
ログ記録の送信先を有効にします。詳細については、「保護パック (ウェブ ACL) のログ記録の設定」を参照してください。
-
ウェブ ACL を AWS Firewall Manager ポリシーに関連付けます。詳細については、「の AWS Firewall Manager ポリシーの作成 AWS WAF」を参照してください。
AWS WAF は、これらの設定がないと、サンプルリクエストを提供したり、CloudWatch メトリクスを発行したりしません。
- AWS マネージドルールグループの DDoS 保護
-
DDoS 保護の高度な階層は、
AWSManagedRulesAntiDDoSRuleSetを通じて提供されます。マネージドルールグループは、リソースレベルの保護階層を補完しますが、次の大きな違いがあります。保護は Application Load Balancer と CloudFront ディストリビューションの両方に拡張されます
トラフィックベースラインは、新しい攻撃パターンの検出を改善するために、保護されたリソース用に作成されます。
保護動作は、選択した感度レベルに応じてアクティブ化されます。
DDoS イベントの発生時に、保護されたリソースへのリクエストを管理およびラベル付けします。
含まれているルールと機能の包括的なリストについては、「AWS WAF 分散サービス拒否 (DDoS) 防止ルールグループ」を参照してください。
注記
このマネージドルールグループを使用する場合、追加料金が請求されます。詳細については、「AWS WAF 料金
