将反 DDoS 托管规则组添加到您的保护包（web ACL）

在保护包（web ACL）中使用 AWSManagedRulesAntiDDoSRuleSet 规则组

1. 将 AWS 托管规则组 AWSManagedRulesAntiDDoSRuleSet 添加到您的保护包（web ACL）中，然后在保存之前编辑规则组设置。

   注意

   使用此托管规则组时，您需要额外付费。有关更多信息，请参阅 AWS WAF 定价。

2. 在规则组配置窗格中，为 AWSManagedRulesAntiDDoSRuleSet 规则组提供任何自定义配置。

   1. 对于阻断敏感度级别，指定 DDoSRequests 规则在匹配规则组的 DDoS 可疑标签时所需的敏感程度。敏感度越高，规则匹配的标签级别就越低：

      • 低灵敏度意味着规则匹配能力较弱，仅能识别攻击中最明显的参与者，这些参与者具有高度可疑的标签 awswaf:managed:aws:anti-ddos:high-suspicion-ddos-request。

      • 中等敏感度会使规则同时匹配中等和高度可疑标签。

      • 高敏感度使规则匹配所有可疑标签：低、中、高。

      该规则对涉嫌参与 DDoS 攻击的 web 请求实施最严格的处理。

   2. 在启用质询中，选择是否启用规则 ChallengeDDoSRequests 和 ChallengeAllDuringEvent，默认情况下，这些规则会将 Challenge 操作应用于匹配的请求。

      这些规则旨在处理请求，允许合法用户继续其请求，同时阻止 DDoS 攻击的参与者。您可以将相关操作设置覆盖为 Allow 或 Count，也可以完全禁用。

      如果要启用这些规则，请提供所需的任何其他配置：

      • 在质询敏感度级别中，指定您希望 ChallengeDDoSRequests 规则达到的敏感程度。

        敏感度越高，规则匹配的标签级别就越低：

        • 低灵敏度意味着规则匹配能力较弱，仅能识别攻击中最明显的参与者，这些参与者具有高度可疑的标签 awswaf:managed:aws:anti-ddos:high-suspicion-ddos-request。

        • 中等敏感度会使规则同时匹配中等和高度可疑标签。

        • 高敏感度使规则匹配所有可疑标签：低、中、高。

      • 对于豁免 URI 正则表达式，请提供一个正则表达式，用于匹配无法处理静默浏览器质询的 web 请求 URI。Challenge 操作将有效阻止缺少质询令牌的 URI 请求，除非这些请求能够处理静默浏览器质询。

        仅预期接收 HTML 内容的客户端才能正确处理 Challenge 操作。有关操作工作原理的更多信息，请参阅 CAPTCHA 和 Challenge 操作行为。

        查看默认的正则表达式，并根据需要对其进行更新。这些规则使用指定的正则表达式，以识别无法处理 Challenge 操作的请求 URI，并防止规则发送回质询。仅使用规则 DDoSRequests 的规则组方可通过此方式阻止排除的请求。

        控制台中提供的默认表达式包含大多数使用案例，但您应根据自己的应用程序对其进行审查和调整。

        AWS WAF 支持 PCRE 库 libpcre 使用的模式语法，但有一些例外情况。该库记录在 PCRE - 与 Perl 兼容的正则表达式中。有关 AWS WAF 支持的信息，请参阅 AWS WAF 中支持的正则表达式语法。

3. 为规则组提供所需的任何其他配置，并保存规则。

   注意

   AWS 建议不要对此托管规则组使用范围缩小语句。范围缩小语句会限制规则组观察到的请求，因此可能导致流量基准不准确，并降低 DDoS 事件检测能力。范围缩小语句选项适用于所有托管规则组语句，但不应用于此语句。有关范围缩小语句的信息，请参阅 在 AWS WAF 中使用范围缩小语句。

4. 在设置规则优先级页面中，上移新的反 DDoS 托管规则组规则，使其仅在您已有的任何 Allow 操作规则之后和任何其他规则之前运行。这使规则组能够跟踪反 DDoS 防护中流量最大的部分。

5. 保存对保护包（web ACL）的更改。