보호 팩 또는 웹 ACL에 Anti-DDoS 관리형 규칙 그룹 추가 - AWS WAF, AWS Firewall ManagerAWS Shield Advanced및 AWS Shield 네트워크 보안 디렉터

에 대한 새로운 콘솔 환경 소개 AWS WAF

이제 업데이트된 환경을 사용하여 콘솔의 모든 위치에서 AWS WAF 기능에 액세스할 수 있습니다. 자세한 내용은 업데이트된 콘솔 환경 작업 섹션을 참조하십시오.

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

보호 팩 또는 웹 ACL에 Anti-DDoS 관리형 규칙 그룹 추가

이 섹션에서는 AWSManagedRulesAntiDDoSRuleSet 규칙 그룹을 추가하고 구성하는 방법을 설명합니다.

Anti-DDoS 관리형 규칙 그룹을 구성하려면 규칙 그룹이 DDoS 공격에 얼마나 민감한지와 공격에 참여 중이거나 참여 중일 수 있는 요청에 대해 수행하는 작업을 포함하는 설정을 제공합니다. 이 구성은 관리형 규칙 그룹의 일반 구성에 추가됩니다.

규칙 그룹 설명과 규칙 및 레이블 목록은 섹션을 참조하세요AWS WAF 분산 서비스 거부(DDoS) 방지 규칙 그룹.

이 지침은 일반적으로 AWS WAF 보호 팩 또는 웹 ACLs, 규칙 및 규칙 그룹을 생성하고 관리하는 방법을 알고 있는 사용자를 대상으로 합니다. 이러한 주제는 이 안내서의 이전 섹션에 설명되어 있습니다. 보호 팩 또는 웹 ACL에 관리형 규칙 그룹을 추가하는 방법에 대한 기본 정보는 섹션을 참조하세요콘솔을 통해 보호 팩 또는 웹 ACL에 관리형 규칙 그룹 추가.

모범 사례 따르기

의 모범 사례에 따라 Anti-DDoS 규칙 그룹을 사용합니다의 지능형 위협 완화 모범 사례 AWS WAF.

보호 팩 또는 웹 ACL에서 AWSManagedRulesAntiDDoSRuleSet 규칙 그룹을 사용하려면

  1. AWS 관리형 규칙 그룹을 보호 팩 또는 웹 ACLAWSManagedRulesAntiDDoSRuleSet에 추가하고 규칙 그룹 설정을 편집한 후 저장합니다.

    참고

    이 관리형 규칙 그룹은 사용 시 추가 요금이 부과됩니다. 자세한 내용은 AWS WAF 요금을 참조하세요.

  2. 규칙 그룹 구성 창에서 AWSManagedRulesAntiDDoSRuleSet 규칙 그룹에 대한 사용자 지정 구성을 제공합니다.

    1. 블록 민감도 수준에서 규칙 그룹의 DDoS 의심 레이블 지정과 일치DDoSRequests할 때 규칙의 민감도를 지정합니다. 민감도가 높을수록 규칙이 일치하는 레이블 지정 수준이 낮아집니다.

      • 낮은 민감도는 덜 민감하므로 의심 레이블이 높은 공격에서 가장 명백한 참가자만 규칙이 일치합니다awswaf:managed:aws:anti-ddos:high-suspicion-ddos-request.

      • 중간 민감도로 인해 규칙이 중간 및 높은 의심 레이블과 일치합니다.

      • 민감도가 높으면 규칙이 낮음, 중간, 높음 등 모든 의심 레이블에서 일치합니다.

      이 규칙은 DDoS 공격에 참여한 것으로 의심되는 웹 요청을 가장 심각하게 처리합니다.

    2. 챌린지 활성화에서 ChallengeAllDuringEvent기본적으로 일치하는 요청에 Challenge 작업을 적용하는 규칙 ChallengeDDoSRequests 및를 활성화할지 여부를 선택합니다.

      이러한 규칙은 합법적인 사용자가 DDoS 공격의 참가자를 차단하면서 요청을 진행할 수 있도록 하기 위한 요청 처리를 제공합니다. 작업 설정을 Allow 또는 로 재정의Count하거나 완전히 사용을 비활성화할 수 있습니다.

      이러한 규칙을 활성화하는 경우 원하는 추가 구성을 제공합니다.

      • 챌린지 민감도 수준에서 규칙의 민감도ChallengeDDoSRequests를 지정합니다.

        민감도가 높을수록 규칙이 일치하는 레이블 지정 수준이 낮아집니다.

        • 낮은 민감도는 덜 민감하므로 의심 레이블이 높은 공격에서 가장 명백한 참가자만 규칙이 일치합니다awswaf:managed:aws:anti-ddos:high-suspicion-ddos-request.

        • 중간 민감도로 인해 규칙이 중간 및 높은 의심 레이블과 일치합니다.

        • 민감도가 높으면 규칙이 낮음, 중간, 높음 등 모든 의심 레이블에서 일치합니다.

      • URI 정규식 제외의 경우 자동 브라우저 챌린지를 처리할 수 없는 웹 요청URIs와 일치하는 정규식을 제공합니다. 이 Challenge 작업은 자동 브라우저 챌린지를 처리할 수 없는 한 챌린지 토큰이 누락된 URIs의 요청을 효과적으로 차단합니다.

        Challenge 작업은 HTML 콘텐츠를 기대하는 클라이언트만 올바르게 처리할 수 있습니다. 작업 작동 방식에 대한 자세한 내용은 단원을 참조하십시오CAPTCHA 및 Challenge 작업 동작.

        기본 정규식을 검토하고 필요에 따라 업데이트합니다. 규칙은 지정된 정규식을 사용하여 Challenge 작업을 처리할 수 없고 규칙이 챌린지를 다시 보내지 못하게 할 수 있는 요청 URIs를 식별합니다. 이러한 방식으로 제외하는 요청은 규칙이 있는 규칙 그룹에서만 차단할 수 있습니다DDoSRequests.

        콘솔에 제공된 기본 표현식은 대부분의 사용 사례를 다루지만 애플리케이션에 맞게 검토하고 조정해야 합니다.

        AWS WAF 는 일부 예외를 libpcre 제외하고 PCRE 라이브러리에서 사용하는 패턴 구문을 지원합니다. 이 라이브러리는 PCRE - Perl 호환 정규식에 문서화되어 있습니다. AWS WAF 지원에 대한 자세한 내용은 섹션을 참조하세요에서 지원되는 정규식 구문 AWS WAF.

  3. 규칙 그룹에 대해 원하는 추가 구성을 제공하고 규칙을 저장합니다.

    참고

    AWS 는이 관리형 규칙 그룹에서 범위 축소 문을 사용하지 않도록 권장합니다. 범위 축소 문은 규칙 그룹이 관찰하는 요청을 제한하므로 트래픽 기준이 부정확하고 DDoS 이벤트 감지가 감소할 수 있습니다. 범위 축소 문 옵션은 모든 관리형 규칙 그룹 문에 사용할 수 있지만이 문에 사용해서는 안 됩니다. 범위 축소 문에 대한 자세한 내용은 에서 범위 축소 문 사용 AWS WAF 섹션을 참조하세요.

  4. 규칙 우선 순위 설정 페이지에서 새 안티 DDoS 관리형 규칙 그룹 규칙을 위로 이동하여 보유한 Allow 작업 규칙과 다른 규칙보다 먼저 실행되도록 합니다. 이를 통해 규칙 그룹은 DDoS 방지를 위해 대부분의 트래픽을 추적할 수 있습니다.

  5. 변경 사항을 보호 팩 또는 웹 ACL에 저장합니다.

프로덕션 트래픽에 대한 DDoS 방지 구현을 배포하기 전에 트래픽에 미치는 잠재적 영향에 익숙해질 때까지 스테이징 또는 테스트 환경에서 이를 테스트하고 조정합니다. 그런 다음 프로덕션 트래픽을 사용하여 규칙을 개수 모드에서 테스트하고 조정한 다음 활성화합니다. 지침은 다음 섹션을 참조하세요.