將 Anti-DDoS 受管規則群組新增至您的保護套件或 Web ACL

在保護套件或 Web ACL 中使用AWSManagedRulesAntiDDoSRuleSet規則群組

1. 將 AWS 受管規則群組AWSManagedRulesAntiDDoSRuleSet新增至您的保護套件或 Web ACL，並在儲存之前編輯規則群組設定。

   注意

   當您使用此受管規則群組時，需支付額外費用。如需詳細資訊，請參閱AWS WAF 定價。

2. 在規則群組組態窗格中，為AWSManagedRulesAntiDDoSRuleSet規則群組提供任何自訂組態。

   1. 針對區塊敏感度層級，指定您希望規則在規則群組的 DDoS 可疑標籤上相符DDoSRequests時的敏感度。敏感度越高，規則符合的標記層級就越低：

      • 低敏感度較不敏感，導致規則僅與攻擊中最明顯的參與者相符，且具有高度可疑標籤 awswaf:managed:aws:anti-ddos:high-suspicion-ddos-request。

      • 中等敏感度會導致規則在中等和高度懷疑標籤上相符。

      • 高敏感度會導致規則在所有可疑標籤上相符：低、中和高。

      此規則提供對疑似參與 DDoS 攻擊的 Web 請求的最嚴重處理方式。

   2. 針對啟用挑戰，選擇是否啟用規則 ChallengeDDoSRequests和 ChallengeAllDuringEvent，預設會將Challenge動作套用至相符的請求。

      這些規則提供請求處理，目的是允許合法使用者繼續處理其請求，同時封鎖 DDoS 攻擊的參與者。您可以將其動作設定覆寫為 Allow或 ，Count也可以完全停用其使用。

      如果您啟用這些規則，請提供您想要的任何其他組態：

      • 針對挑戰敏感度等級，指定您希望規則ChallengeDDoSRequests的敏感度。

        敏感度越高，規則符合的標記層級就越低：

        • 低敏感度較不敏感，導致規則僅與攻擊中最明顯的參與者相符，且具有高度可疑標籤 awswaf:managed:aws:anti-ddos:high-suspicion-ddos-request。

        • 中等敏感度會導致規則在中等和高度懷疑標籤上相符。

        • 高敏感度會導致規則在所有可疑標籤上相符：低、中和高。

      • 對於豁免 URI 規則表達式，提供符合無法處理無提示瀏覽器挑戰之 Web 請求 URIs 的規則表達式。Challenge 動作會有效地封鎖來自缺少挑戰字符URIs 的請求，除非它們可以處理靜音瀏覽器挑戰。

        Challenge 動作只能由預期 HTML 內容的用戶端正確處理。如需 動作運作方式的詳細資訊，請參閱 CAPTCHA 和 Challenge動作行為。

        檢閱預設規則表達式並視需要更新。這些規則使用指定的規則表達式來識別無法處理Challenge動作的請求 URIs，並防止規則傳送挑戰回去。您以這種方式排除的請求只能由規則群組使用規則 來封鎖DDoSRequests。

        主控台中提供的預設表達式涵蓋了大多數的使用案例，但您應該檢閱並根據您的應用程式進行調整。

        AWS WAF 支援 PCRE 程式庫使用的模式語法libpcre，但有一些例外。程式庫記錄在 PCRE - Perl 相容規則表達式中。如需 AWS WAF 支援的相關資訊，請參閱 中支援的規則表達式語法 AWS WAF。

3. 提供您想要用於規則群組的任何其他組態，並儲存規則。

   注意

   AWS 建議不要搭配此受管規則群組使用縮小範圍陳述式。縮小範圍陳述式會限制規則群組觀察到的請求，因此可能會導致流量基準不準確和 DDoS 事件偵測減少。縮小範圍陳述式選項適用於所有受管規則群組陳述式，但不應用於此陳述式。如需縮小範圍陳述式的資訊，請參閱 在 中使用縮小範圍陳述式 AWS WAF。

4. 在設定規則優先順序頁面中，將新的反 DDoS 受管規則群組規則向上移動，使其僅在您擁有的任何Allow動作規則之後以及在任何其他規則之前執行。這可讓規則群組追蹤最多流量以進行反 DDoS 保護。

5. 將變更儲存至保護套件或 Web ACL。