将 Anti-DDo S 托管规则组添加到您的保护包或 Web ACL

使用保护包或 Web ACL 中的AWSManagedRulesAntiDDoSRuleSet规则组

1. 将 AWS 托管规则组AWSManagedRulesAntiDDoSRuleSet添加到您的保护包或 Web ACL 中，并在保存之前编辑规则组设置。

   注意

   使用此托管规则组时，您需要额外付费。有关更多信息，请参阅AWS WAF 定价。

2. 在规则组配置窗格中，为AWSManagedRulesAntiDDoSRuleSet规则组提供任何自定义配置。

   1. 对于区块敏感度级别，指定在规则组的 DDo S DDoSRequests 可疑标签上匹配时您希望规则的敏感程度。灵敏度越高，规则匹配的标签级别越低：

      • 低灵敏度不那么敏感，导致该规则仅匹配攻击中最明显的参与者，这些参与者具有高度可疑的标签awswaf:managed:aws:anti-ddos:high-suspicion-ddos-request。

      • 中等敏感度会使中等和高度可疑标签上的规则相匹配。

      • 高灵敏度会使所有可疑标签上的规则都匹配：低、中和高。

      该规则对涉嫌参与 DDo S 攻击的 Web 请求提供了最严格的处理。

   2. 在 “启用质询” 中，选择是否启用规则ChallengeDDoSRequests和ChallengeAllDuringEvent，默认情况下，它们会将Challenge操作应用于匹配的请求。

      这些规则提供了请求处理，旨在允许合法用户继续处理其请求，同时阻止 DDo S 攻击的参与者。您可以将他们的操作设置改为AllowCount或，也可以完全禁用它们的使用。

      如果您启用了这些规则，请提供所需的任何其他配置：

      • 在 “质询敏感度级别” 中，指定您ChallengeDDoSRequests希望规则的敏感程度。

        灵敏度越高，规则匹配的标签级别越低：

        • 低灵敏度不那么敏感，导致该规则仅匹配攻击中最明显的参与者，这些参与者具有高度可疑的标签awswaf:managed:aws:anti-ddos:high-suspicion-ddos-request。

        • 中等敏感度会使中等和高度可疑标签上的规则相匹配。

        • 高灵敏度会使所有可疑标签上的规则都匹配：低、中和高。

      • 对于豁免 URI 正则表达式，请提供与无法处理静默浏览器挑战的 Web 请求相匹配 URIs 的正则表达式。该Challenge操作将有效地阻止缺少挑战令牌的请求，除非他们能够处理静默浏览器挑战。 URIs

        只有期望 HTML 内容的客户端才能正确处理该Challenge操作。有关操作工作原理的更多信息，请参阅CAPTCHA 和 Challenge 操作行为。

        查看默认正则表达式并根据需要进行更新。这些规则使用指定的正则表达式来识别无法处理Challenge操作的请求 URIs 并阻止规则发送回质询。只有使用该规则的规则组才能阻止以这种方式排除的请求DDoSRequests。

        控制台中提供的默认表达式涵盖了大多数用例，但您应根据自己的应用程序对其进行查看和调整。

        AWS WAF 支持 PCRE 库使用的模式语法，但libpcre有一些例外。该库记录在 PCRE - 与 Perl 兼容的正则表达式中。有关 AWS WAF 支持的信息，请参阅中支持的正则表达式语法 AWS WAF。

3. 为规则组提供所需的任何其他配置并保存规则。

   注意

   AWS 建议不要在此托管规则组中使用范围缩小语句。scope-down 语句限制了规则组观察到的请求，因此可能导致流量基线不准确并减少 DDo S 事件检测。scope-down 语句选项适用于所有托管规则组语句，但不应用于此语句。有关范围缩小语句的信息，请参阅 在中使用范围缩小语句 AWS WAF。

4. 在设置规则优先级页面中，将新的反 DDo S 托管规则组规则向上移动，使其仅在您拥有的任何Allow操作规则之后和任何其他规则之前运行。这使规则组能够跟踪最多的流量以进行反 DDo S 保护。

5. 保存对保护包或 Web ACL 所做的更改。