Adicionar o grupo de regras gerenciadas do DDo Anti-S ao seu pacote de proteção ou ACL da web - AWS WAF, AWS Firewall Manager, AWS Shield Advanced, e diretor AWS Shield de segurança de rede

Apresentando uma nova experiência de console para AWS WAF

Agora você pode usar a experiência atualizada para acessar a AWS WAF funcionalidade em qualquer lugar do console. Consulte mais detalhes em Trabalhando com a experiência atualizada do console.

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Adicionar o grupo de regras gerenciadas do DDo Anti-S ao seu pacote de proteção ou ACL da web

Esta seção explica como adicionar e configurar o grupo de regras AWSManagedRulesAntiDDoSRuleSet.

Para configurar o grupo de regras gerenciadas do DDo Anti-S, você fornece configurações que incluem a sensibilidade do grupo de regras aos ataques DDo S e as ações que ele executa em solicitações que estão ou possam estar participando dos ataques. Essa configuração é adicional à configuração normal de um grupo de regras gerenciadas.

Para obter a descrição do grupo de regras e a lista de regras e rótulos, consulteAWS WAF Grupo de regras de prevenção de negação de serviço distribuído (DDoS).

Esta orientação é destinada a usuários que geralmente sabem como criar e gerenciar pacotes de AWS WAF proteção ou web ACLs, regras e grupos de regras. Esses tópicos são abordados nas seções anteriores deste guia. Para obter informações básicas sobre como adicionar um grupo de regras gerenciadas ao seu pacote de proteção ou Web ACL, consulteAdicionar um grupo de regras gerenciadas a um pacote de proteção ou Web ACL por meio do console.

Siga as práticas recomendadas

Use o grupo de regras DDo Anti-S de acordo com as melhores práticas emMelhores práticas para mitigação inteligente de ameaças em AWS WAF.

Para usar o grupo de AWSManagedRulesAntiDDoSRuleSet regras em seu pacote de proteção ou Web ACL

  1. Adicione o grupo de regras AWS gerenciadas AWSManagedRulesAntiDDoSRuleSet ao seu pacote de proteção ou ACL da web e edite as configurações do grupo de regras antes de salvar.

    nota

    Você paga taxas adicionais ao usar esse grupo de regras gerenciadas. Para obter mais informações, consulte AWS WAF Preço.

  2. No painel Configuração do grupo de regras, forneça qualquer configuração personalizada para o grupo de AWSManagedRulesAntiDDoSRuleSet regras.

    1. Em Nível de sensibilidade do bloco, especifique a confidencialidade que você deseja DDoSRequests que a regra tenha ao corresponder ao rótulo de suspeita DDo S do grupo de regras. Quanto maior a sensibilidade, menores são os níveis de rotulagem aos quais a regra corresponde:

      • A baixa sensibilidade é menos sensível, fazendo com que a regra corresponda apenas aos participantes mais óbvios de um ataque, que têm o rótulo awswaf:managed:aws:anti-ddos:high-suspicion-ddos-request de alta suspeita.

      • A sensibilidade média faz com que a regra corresponda aos rótulos de média e alta suspeita.

      • A alta sensibilidade faz com que a regra corresponda a todos os rótulos de suspeita: baixa, média e alta.

      Essa regra fornece o tratamento mais severo de solicitações da web suspeitas de participarem de ataques DDo S.

    2. Em Habilitar desafio, escolha se deseja ativar as regras ChallengeDDoSRequests e quaisChallengeAllDuringEvent, por padrão, aplicam a Challenge ação às solicitações correspondentes.

      Essas regras fornecem tratamento de solicitações com o objetivo de permitir que usuários legítimos prossigam com suas solicitações enquanto bloqueiam os participantes do ataque DDo S. Você pode substituir suas configurações de ação Allow Count ou desabilitar totalmente seu uso.

      Se você habilitar essas regras, forneça qualquer configuração adicional que desejar:

      • Em Nível de sensibilidade do desafio, especifique o grau de sensibilidade que você deseja que ChallengeDDoSRequests a regra seja.

        Quanto maior a sensibilidade, menores são os níveis de rotulagem aos quais a regra corresponde:

        • A baixa sensibilidade é menos sensível, fazendo com que a regra corresponda apenas aos participantes mais óbvios de um ataque, que têm o rótulo awswaf:managed:aws:anti-ddos:high-suspicion-ddos-request de alta suspeita.

        • A sensibilidade média faz com que a regra corresponda aos rótulos de média e alta suspeita.

        • A alta sensibilidade faz com que a regra corresponda a todos os rótulos de suspeita: baixa, média e alta.

      • Para expressões regulares de URI isento, forneça uma expressão regular que corresponda às URIs solicitações da web que não conseguem lidar com um desafio silencioso do navegador. A Challenge ação bloqueará efetivamente as solicitações URIs que não tenham o token de desafio, a menos que elas consigam lidar com o desafio do navegador silencioso.

        A Challenge ação só pode ser tratada adequadamente por um cliente que está esperando conteúdo HTML. Para obter mais informações sobre como a ação funciona, consulteComportamento de ações CAPTCHA e Challenge.

        Revise a expressão regular padrão e atualize-a conforme necessário. As regras usam a expressão regular especificada para identificar a solicitação URIs que não consegue lidar com a Challenge ação e impedir que as regras retornem um desafio. Solicitações que você exclui dessa forma só podem ser bloqueadas pelo grupo de regras com a regraDDoSRequests.

        A expressão padrão fornecida no console abrange a maioria dos casos de uso, mas você deve analisá-la e adaptá-la ao seu aplicativo.

        AWS WAF suporta a sintaxe padrão usada pela biblioteca PCRE, libpcre com algumas exceções. A biblioteca está documentada em PCRE: Expressões regulares compatíveis com Perl. Para obter informações sobre AWS WAF suporte, consulteSintaxe de expressão regular suportada em AWS WAF.

  3. Forneça qualquer configuração adicional desejada para o grupo de regras e salve a regra.

    nota

    AWS recomenda não usar uma declaração de escopo reduzido com esse grupo de regras gerenciadas. A instrução scope-down limita as solicitações que o grupo de regras observa e, portanto, pode resultar em uma linha de base de tráfego imprecisa e na diminuição da detecção do evento S. DDo A opção de instrução de escopo reduzido está disponível para todas as instruções do grupo de regras gerenciadas, mas não deve ser usada para essa. Para informações sobre instruções de redução de escopo, consulte Usando declarações de escopo reduzido em AWS WAF.

  4. Na página Definir prioridade da regra, mova a nova regra do grupo de regras gerenciado DDo anti-S para cima para que ela seja executada somente após qualquer regra de Allow ação que você tenha e antes de qualquer outra regra. Isso dá ao grupo de regras a capacidade de rastrear a maior parte do tráfego para proteção DDo Anti-S.

  5. Salve suas alterações no pacote de proteção ou na ACL da web.

Antes de implantar sua implementação DDo anti-S para tráfego de produção, teste-a e ajuste-a em um ambiente de preparação ou teste até se sentir confortável com o impacto potencial em seu tráfego. Em seguida, teste e ajuste as regras no modo de contagem com seu tráfego de produção antes de ativá-las. Consulte a seção a seguir para obter orientação.