**引入全新的主机体验 AWS WAF** 现在,您可以使用更新的体验访问控制台中任意位置的 AWS WAF 功能。有关更多详细信息,请参阅[使用控制台](https://docs.aws.amazon.com/waf/latest/developerguide/working-with-console.html)。 本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。 # 测试和部署 Anti-DDo S 在部署 AWS WAF 分布式拒绝服务 (DDoS) 防护功能之前,您需要配置和测试该功能。本节提供配置和测试的一般性指导,但您选择遵循的具体步骤将取决于您的需求、资源和收到的 web 请求。 此信息是对 [测试和调整您的 AWS WAF 保护措施](web-acl-testing.md) 中提供的有关测试和调整的一般信息的补充。 **注意** AWS 托管规则旨在保护您免受常见 Web 威胁的侵害。根据文档使用 AWS 托管规则组时,可以为您的应用程序增加另一层安全保护。但是, AWS 托管规则规则组并不是用来取代您的安全职责,后者由您选择的 AWS 资源决定。请参阅[分担责任模型](https://aws.amazon.com/compliance/shared-responsibility-model/),确保您的资源 AWS 得到适当保护。 **生产流量风险** 在试运行或测试环境中测试和调整您的反 DDo S实现,直到您对流量可能产生的影响感到满意。然后,在启用之前,在计数模式下使用生产流量对规则进行测试和调整。 本指南适用于一般了解如何创建和管理 AWS WAF 保护包 (Web ACLs)、规则和规则组的用户。这些主题将在本指南的前面章节中介绍。 **配置和测试 AWS WAF 分布式拒绝服务 (DDoS) 防护实现** 首先在测试环境中执行这些步骤,然后在生产环境中执行这些步骤。 1. **在计数模式下添加 AWS WAF 分布式拒绝服务 (DDoS) 防护托管规则组** **注意** 使用此托管规则组时,您需要额外付费。有关更多信息,请参阅[AWS WAF 定价](https://aws.amazon.com/waf/pricing/)。 将 AWS 托管规则组`AWSManagedRulesAntiDDoSRuleSet`添加到新的或现有的保护包 (Web ACL) 中,并对其进行配置,使其不会改变当前保护包 (Web ACL) 的行为。有关此规则组的规则和标签的详细信息,请参阅 [AWS WAF 分布式拒绝服务 (DDoS) 防护规则组](aws-managed-rule-groups-anti-ddos.md)。 + 添加托管规则组时,对其进行编辑并执行以下操作: + 在**规则组配置**窗格中,提供对 Web 流量执行反 DDo S 活动所需的详细信息。有关更多信息,请参阅 [将 Anti-DDo S 托管规则组添加到您的保护包 (Web ACL)](waf-anti-ddos-rg-using.md)。 + 在**规则**窗格中,打开**覆盖所有规则操作**下拉列表并选择 **Count**。使用此配置, AWS WAF 可以根据规则组中的所有规则评估请求,并仅计算结果的匹配项,同时仍将标签添加到请求中。有关更多信息,请参阅 [覆盖规则组的规则操作](web-acl-rule-group-settings.md#web-acl-rule-group-rule-action-override)。 使用此替换,您可以监视 Anti-DDo S 托管规则的潜在影响,以确定是否要进行修改,例如扩展无法处理静默浏览器挑战 URIs 的正则表达式。 + 定位规则组,以便在任何允许流量的规则之后尽早对规则组进行评估。规则按数字优先级的升序顺序进行评估。控制台将按规则列表的顺序为您执行操作,从列表顶部开始。有关更多信息,请参阅 [设置规则优先级](web-acl-processing-order.md)。 1. **为保护包(web ACL)启用日志记录和指标** 根据需要,为保护包(Web ACL)配置日志、Amazon Security Lake 数据收集、请求采样和亚马逊 CloudWatch 指标。您可以使用这些可见性工具来监控 Anti-DDo S 托管规则组与您的流量的交互情况。 + 有关配置和使用日志记录的信息,请参阅 [记录 AWS WAF 保护包 (Web ACL) 流量](logging.md)。 + 有关 Amazon Security Lake 的信息,请参阅[什么是亚马逊安全湖?](https://docs.aws.amazon.com/security-lake/latest/userguide/what-is-security-lake.html) 以及 *Amazon Security Lake 用户指南*中的[从 AWS 服务中收集数据](https://docs.aws.amazon.com/security-lake/latest/userguide/internal-sources.html)。 + 有关 Amazon CloudWatch 指标的信息,请参阅[使用 Amazon 进行监控 CloudWatch](monitoring-cloudwatch.md)。 + 有关 web 请求采样的信息,请参阅 [查看 web 请求示例](web-acl-testing-view-sample.md)。 1. **将保护包(web ACL)与资源关联** 如果保护包(web ACL)尚未与测试资源关联,请将其关联。有关信息,请参阅[将保护与资源关联或取消关联 AWS](web-acl-associating-aws-resource.md)。 1. **监控流量和 Anti-DDo S 规则匹配情况** 确保您的正常流量畅通,并且 Anti-DDo S 托管规则组规则正在为匹配的 Web 请求添加标签。您可以在日志中看到标签,也可以在 Amazon 指标中查看 Anti-DDo S 和标签 CloudWatch 指标。在日志中,您在规则组中覆盖计数的规则会显示在 `ruleGroupList` 中,`action` 设置为计数,`overriddenAction` 表示您覆盖的已配置规则操作。 1. **自定义 Ant DDo i-S Web 请求处理** 根据需要,添加您自己的明确允许或阻止请求的规则,以更改 Anti-DDo S 规则处理请求的方式。 例如,您可以使用 Anti-DDo S 标签来允许或阻止请求或自定义请求处理。您可以在 Anti-DDo S 托管规则组之后添加标签匹配规则,以筛选要应用的处理的已标记请求。测试后,将相关的 Anti-DDo S 规则保持在计数模式,并在自定义规则中维护请求处理决策。 1. **移除测试规则并配置 Anti-DDo S 设置** 查看您的测试结果,以确定您希望将哪些 Anti-DDo S 规则保留在计数模式下仅用于监控。对于任何需要启用主动保护的规则,请在保护包(web ACL)规则组配置中禁用计数模式,以便这些规则能够执行其配置的操作。完成这些设置后,请移除所有临时测试标签匹配规则,同时保留为生产用途创建的所有自定义规则。有关其他 Ant DDo i-S 配置注意事项,请参阅[中智能缓解威胁的最佳实践 AWS WAF](waf-managed-protections-best-practices.md)。 1. **监控和调整** 为确保 Web 请求得到您想要的处理,请在启用您打算使用的 Anti-DDo S 功能后密切监控您的流量。根据需要调整行为,使用规则组上的规则计数覆盖和您自己的规则。