에 대한 새로운 콘솔 환경 소개 AWS WAF
이제 업데이트된 환경을 사용하여 콘솔의 모든 위치에서 AWS WAF 기능에 액세스할 수 있습니다. 자세한 내용은 업데이트된 콘솔 환경 작업 섹션을 참조하십시오.
기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
AWS WAF 분산 서비스 거부(DDoS) 방지 규칙 그룹
이 섹션에서는 분산 서비스 거부(DDoS) 공격으로부터 보호하기 위한 AWS WAF 관리형 규칙 그룹을 설명합니다.
VendorName: AWS, Name: AWSManagedRulesAntiDDoSRuleSet
참고
이 설명서에서는이 관리형 규칙 그룹의 최신 정적 버전 릴리스를 다룹니다. 버전 변경을의 변경 로그에 보고합니다AWS 관리형 규칙 변경 로그. 다른 버전에 대한 자세한 내용은 API 명령 DescribeManagedRuleGroup을 사용합니다.
AWS 관리형 규칙 규칙 그룹의 규칙에 대해 게시하는 정보는 악의적인 행위자에게 규칙을 우회하는 데 필요한 사항을 제공하지 않고 규칙을 사용하는 데 필요한 사항을 제공하기 위한 것입니다.
여기에 있는 것보다 더 많은 정보가 필요한 경우 AWS Support 센터에
안티 DDoS 관리형 규칙 그룹은 DDoS 공격에 참여 중이거나 참여할 가능성이 있는 요청을 감지하고 관리하는 규칙을 제공합니다. 또한 규칙 그룹은 가능한 이벤트 중에 평가하는 모든 요청에 레이블을 지정합니다.
이 규칙 그룹 사용 시 고려 사항
이 규칙 그룹은 DDoS 공격 중인 리소스로 들어오는 웹 요청에 대한 소프트 및 하드 완화 기능을 제공합니다. 다양한 위협 수준을 탐지하기 위해 두 완화 유형의 민감도를 높음, 중간 또는 낮음 의심 수준으로 조정할 수 있습니다.
소프트 완화 - 규칙 그룹은 챌린지 중간 이벤트를 처리할 수 있는 요청에 대한 응답으로 자동 브라우저 챌린지를 보낼 수 있습니다. 챌린지 실행 요구 사항에 대한 자세한 내용은 섹션을 참조하세요CAPTCHA 및 Challenge 작업 동작.
하드 완화 - 규칙 그룹은 요청을 완전히 차단할 수 있습니다.
규칙 그룹의 작동 방식과 구성 방법에 대한 자세한 내용은 섹션을 참조하세요안티 DDoS 관리형 규칙 그룹을 사용한 고급 AWS WAF 안티 DDoS 보호.
참고
이 관리형 규칙 그룹은 사용 시 추가 요금이 부과됩니다. 자세한 내용은 AWS WAF 요금
이 규칙 그룹은 AWS WAF에 지능형 위협 완화 보호의 일부로 포함됩니다. 자세한 내용은 의 지능형 위협 완화 AWS WAF 단원을 참조하세요.
비용을 최소화하고 트래픽 관리를 최적화하려면 모범 사례 지침에 따라이 규칙 그룹을 사용합니다. 의 지능형 위협 완화 모범 사례 AWS WAF 섹션을 참조하세요.
이 규칙 그룹에서 추가한 레이블
이 관리형 규칙 그룹은 평가하는 웹 요청에 레이블을 추가합니다. AWS WAF 이 레이블은 보호 팩 또는 웹 ACL에서이 규칙 그룹 이후에 실행되는 규칙에 사용할 수 있습니다.는 Amazon CloudWatch 지표에도 레이블을 기록합니다. 레이블 및 레이블 지표에 대한 일반적인 내용은 웹 요청 레이블 지정 및 레이블 지표 및 차원 섹션을 참조하세요.
토큰 레이블
이 규칙 그룹은 AWS WAF 토큰 관리를 사용하여 AWS WAF 토큰 상태에 따라 웹 요청을 검사하고 레이블을 지정합니다.는 클라이언트 세션 추적 및 확인을 위해 토큰을 AWS WAF 사용합니다.
토큰 및 토큰 관리에 대한 자세한 내용은 AWS WAF 지능형 위협 완화에 토큰 사용 섹션을 참조하세요.
여기에 설명된 레이블 구성 요소에 대한 자세한 내용은 의 레이블 구문 및 이름 지정 요구 사항 AWS WAF 섹션을 참조하세요.
클라이언트 세션 레이블
레이블에는 AWS WAF 토큰 관리가 클라이언트 세션을 식별하는 데 사용하는 고유 식별자가 awswaf:managed:token:id: 포함되어 있습니다. 클라이언트가 새 토큰을 획득하는 경우(예: 사용하고 있던 토큰을 폐기한 후) 식별자가 변경될 수 있습니다.identifier
참고
AWS WAF 는이 레이블에 대한 Amazon CloudWatch 지표를 보고하지 않습니다.
브라우저 지문 레이블
레이블에는 AWS WAF 토큰 관리가 다양한 클라이언트 브라우저 신호에서 계산하는 강력한 브라우저 지문 식별자가 awswaf:managed:token:fingerprint: 포함되어 있습니다. 이 식별자는 여러 토큰 획득 시도에서 동일하게 유지됩니다. 지문 식별자는 단일 클라이언트에 고유하지 않습니다.fingerprint-identifier
참고
AWS WAF 는이 레이블에 대한 Amazon CloudWatch 지표를 보고하지 않습니다.
토큰 상태 레이블: 레이블 네임스페이스 접두사
토큰 상태 레이블은 토큰 및 챌린지 상태와 토큰에 포함된 CAPTCHA 정보를 보고합니다.
각 토큰 상태 레이블은 다음 네임스페이스 접두사 중 하나로 시작합니다.
awswaf:managed:token:– 토큰의 일반 상태를 보고하고 토큰의 챌린지 정보 상태를 보고하는 데 사용됩니다.awswaf:managed:captcha:– 토큰의 CAPTCHA 정보 상태를 보고하는 데 사용됩니다.
토큰 상태 레이블: 레이블 이름
접두사 뒤에 오는 라벨의 나머지 부분은 자세한 토큰 상태 정보를 제공합니다.
accepted– 요청 토큰이 존재하며 다음을 포함합니다.유효한 챌린지 또는 CAPTCHA 솔루션.
만료되지 않은 챌린지 또는 CAPTCHA 타임스탬프.
보호 팩 또는 웹 ACL에 유효한 도메인 사양입니다.
예: 레이블
awswaf:managed:token:accepted은(는) 웹 요청의 토큰에 유효한 인증 확인 솔루션, 만료되지 않은 챌린지 타임스탬프 및 유효한 도메인이 있음을 나타냅니다.-
rejected– 요청 토큰이 존재하지만 수락 기준을 충족하지 않습니다.거부된 레이블과 함께 토큰 관리는 사용자 지정 레이블 네임스페이스 및 이름을 추가하여 이유를 나타냅니다.
rejected:not_solved– 토큰에 챌린지 또는 CAPTCHA 솔루션이 없습니다.rejected:expired- 보호 팩 또는 웹 ACL의 구성된 토큰 면제 시간에 따라 토큰의 챌린지 또는 CAPTCHA 타임스탬프가 만료되었습니다.rejected:domain_mismatch- 토큰의 도메인이 보호 팩 또는 웹 ACL의 토큰 도메인 구성과 일치하지 않습니다.rejected:invalid- 표시된 토큰을 읽을 AWS WAF 수 없습니다.
예:
awswaf:managed:captcha:rejected및 레이블은 토큰의 CAPTCHA 타임스탬프가 보호 팩 또는 웹 ACL에 구성된 CAPTCHA 토큰 면제 시간을 초과했기 때문에 요청에 유효한 CAPTCHA 해석이 없음을awswaf:managed:captcha:rejected:expired나타냅니다. -
absent– 요청에 토큰이 없거나 토큰 관리자가 토큰을 읽을 수 없습니다.예: 레이블
awswaf:managed:captcha:absent는 요청에 토큰이 없음을 나타냅니다.
DDoS 방지 레이블
Anti-DDoS 관리형 규칙 그룹은 네임스페이스 접두사 awswaf:managed:aws:anti-ddos: 뒤에 사용자 지정 네임스페이스와 레이블 이름이 있는 레이블을 생성합니다. 각 레이블은 DDoS 방지 조사 결과의 일부 측면을 반영합니다.
규칙 그룹은 개별 규칙에 의해 추가된 레이블 외에도 요청에 다음 레이블 중 두 개 이상을 추가할 수 있습니다.
-
awswaf:managed:aws:anti-ddos:event-detected- 요청이 관리형 규칙 그룹이 DDoS 이벤트를 감지하는 보호된 리소스로 이동함을 나타냅니다. 관리형 규칙 그룹은 리소스에 대한 트래픽이 리소스의 트래픽 기준과 크게 다를 때 이벤트를 감지합니다.규칙 그룹은이 상태인 동안 리소스로 이동하는 모든 요청에이 레이블을 추가하므로 합법적인 트래픽 및 공격 트래픽은이 레이블을 가져옵니다.
-
awswaf:managed:aws:anti-ddos:ddos-request- 요청이 이벤트에 참여한 것으로 의심되는 소스에서 온 것임을 나타냅니다.일반 레이블 외에도 규칙 그룹은 신뢰도 수준을 나타내는 다음 레이블을 추가합니다.
awswaf:managed:aws:anti-ddos:low-suspicion-ddos-request- 가능한 DDoS 공격 요청을 나타냅니다.awswaf:managed:aws:anti-ddos:medium-suspicion-ddos-request- 가능성이 매우 높은 DDoS 공격 요청을 나타냅니다.awswaf:managed:aws:anti-ddos:high-suspicion-ddos-request- 가능성이 높은 DDoS 공격 요청을 나타냅니다. -
awswaf:managed:aws:anti-ddos:challengeable-request- 요청 URI가 Challenge 작업을 처리할 수 있음을 나타냅니다. 관리형 규칙 그룹은 URI가 제외되지 않은 모든 요청에 이를 적용합니다. URIs는 규칙 그룹의 제외된 URI 정규식과 일치하는 경우 제외됩니다.자동 브라우저 챌린지를 수행할 수 있는 요청의 요구 사항에 대한 자세한 내용은 섹션을 참조하세요CAPTCHA 및 Challenge 작업 동작.
DescribeManagedRuleGroup을 호출하여 API를 통해 규칙 그룹의 모든 레이블을 검색할 수 있습니다. 레이블은 응답의 AvailableLabels 속성에 나열됩니다.
Anti-DDoS 관리형 규칙 그룹은 요청에 레이블을 적용하지만 항상 적용되는 것은 아닙니다. 요청 관리는 규칙 그룹이 공격 참여를 결정하는 신뢰도에 따라 달라집니다. 원하는 경우 규칙 그룹 뒤에 실행되는 레이블 일치 규칙을 추가하여 규칙 그룹 레이블 지정 요청을 관리할 수 있습니다. 이것과 예제에 대한 자세한 내용은 AWS WAF 분산 서비스 거부(DDoS) 방지 섹션을 참조하세요.
DDoS 방지 규칙 목록
이 섹션에는 DDoS 방지 규칙이 나열되어 있습니다.
참고
이 설명서에서는이 관리형 규칙 그룹의 최신 정적 버전 릴리스를 다룹니다. 버전 변경을의 변경 로그에 보고합니다AWS 관리형 규칙 변경 로그. 다른 버전에 대한 자세한 내용은 API 명령 DescribeManagedRuleGroup을 사용합니다.
AWS 관리형 규칙 규칙 그룹의 규칙에 대해 게시하는 정보는 악의적인 행위자에게 규칙을 우회하는 데 필요한 사항을 제공하지 않고 규칙을 사용하는 데 필요한 사항을 제공하기 위한 것입니다.
여기에 있는 것보다 더 많은 정보가 필요한 경우 AWS Support 센터에
| 규칙 이름 | 설명 |
|---|---|
ChallengeAllDuringEvent |
현재 공격 중인 보호된 리소스에 규칙 작업: Challenge 이 규칙 작업은 Allow 또는 로만 재정의할 수 있습니다Count. 의 사용은 권장Allow되지 않습니다. 규칙 작업 설정의 경우 규칙은 이 규칙의 구성은 다음 규칙의 평가에 영향을 미칩니다 워크로드가 예기치 않은 요청 볼륨 변경에 취약한 경우 기본 작업 설정인를 유지하여 어려운 모든 요청에 도전하는 것이 좋습니다Challenge. 덜 민감한 애플리케이션의 경우이 규칙에 대한 작업을 로 설정한 Count 다음 규칙을 사용하여 Challenge 응답의 민감도를 조정할 수 있습니다 레이블: |
ChallengeDDoSRequests |
리소스가 공격을 받는 동안 규칙 그룹의 구성된 챌린지 민감도 설정을 충족하거나 초과하는 보호된 리소스에 대한 요청을 일치시킵니다. 규칙 작업: Challenge 이 규칙 작업은 Allow 또는 로만 재정의할 수 있습니다Count. 의 사용은 권장Allow되지 않습니다. 어떤 경우에도 규칙은 AWS WAF 는 이전 규칙인 Count에서 작업을 로 재정의하는 경우에만이 규칙을 평가합니다 레이블: |
DDoSRequests |
리소스가 공격을 받는 동안 규칙 그룹의 구성된 블록 민감도 설정을 충족하거나 초과하는 보호된 리소스에 대한 요청을 일치시킵니다. 규칙 작업: Block 레이블: |
