**推出 的新主控台體驗 AWS WAF**

您現在可以使用更新後的體驗，在主控台的任何位置存取 AWS WAF 功能。如需詳細資訊，請參閱[使用 主控台](https://docs.aws.amazon.com/waf/latest/developerguide/working-with-console.html)。

本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# AWS WAF 分散式阻斷服務 (DDoS) 預防
<a name="waf-anti-ddos"></a>

AWS WAF 為您的 AWS 資源提供複雜且可自訂的 DDoS 攻擊防護。檢閱本節所述的選項，然後選取符合您安全和業務需求的反 DDoS 保護層級。

您可以在 中選擇兩個層級的 DDoS 保護 AWS WAF：

資源層級 DDoS 保護  
標準層可在 Application Load Balancer 內運作，透過主機上篩選來防禦已知的惡意來源。您可以設定保護行為，以對潛在的 DDoS 事件做出最佳反應。  
資源層級 DDoS 保護：  
+ 自動監控您的流量模式。
+ 即時更新威脅情報。
+ 防範已知惡意來源。
**最佳化 Application Load Balancer 的 Web ACL 請求成本**  
您必須將 Web ACL 與 Application Load Balancer 建立關聯，才能啟用資源層級保護。如果您的 Application Load Balancer 與沒有組態的 Web ACL 相關聯，則不會從 AWS WAF 請求產生費用，但是， AWS WAF 不會在 CloudWatch 指標中提供 Application Load Balancer 的範例請求或報告。您可以採取下列動作來啟用 Application Load Balancer 的可觀測性功能：  
+ 在 中使用 `Block` 動作或 `Allow`動作搭配自訂請求標頭`DefaultAction`。如需相關資訊，請參閱[插入非封鎖動作的自訂請求標頭](customizing-the-incoming-request.md)。
+ 將任何規則新增至 Web ACL。如需相關資訊，請參閱[AWS WAF 規則](waf-rules.md)。
+ 啟用記錄目的地。如需相關資訊，請參閱[設定保護套件的記錄 (Web ACL)](logging-management-configure.md)。
+ 將 Web ACL 與 AWS Firewall Manager 政策建立關聯。如需相關資訊，請參閱[為 建立 AWS Firewall Manager 政策 AWS WAF](create-policy.md#creating-firewall-manager-policy-for-waf)。
AWS WAF 如果沒有這些組態， 將不會提供抽樣請求或發佈 CloudWatch 指標。

AWS 受管規則群組 DDoS 保護  
進階的 DDoS 保護層是透過 提供`AWSManagedRulesAntiDDoSRuleSet`。受管規則群組補充了資源層級的保護層，具有以下顯著差異：  
+ 保護延伸至 Application Load Balancer 和 CloudFront 分佈
+ 流量基準是為您的受保護資源建立的，以改善新型攻擊模式的偵測。
+ 保護行為會根據您選取的敏感度層級來啟用。
+ 在可能的 DDoS 事件期間，管理和標記對受保護資源的請求。
如需包含的規則和功能的完整清單，請參閱 [AWS WAF 分散式阻斷服務 (DDoS) 預防規則群組](aws-managed-rule-groups-anti-ddos.md)。

**注意**  
當您使用此受管規則群組時，需支付額外費用。如需詳細資訊，請參閱 [AWS WAF 定價](https://aws.amazon.com/waf/pricing/)。

**Topics**
+ [Application Load Balancer 的資源層級 DDoS 保護](waf-anti-ddos-alb.md)
+ [使用反 DDoS 受管規則群組的進階 AWS WAF 反 DDoS 保護](waf-anti-ddos-advanced.md)

# Application Load Balancer 的資源層級 DDoS 保護
<a name="waf-anti-ddos-alb"></a>

**資源層級 DDoS 保護**可為 Application Load Balancer 新增立即防禦，而不會產生部署 AWS WAF 受管規則群組的費用。此標準等級的反 DDoS 保護使用 AWS 威脅情報和流量模式分析來保護 Application Load Balancer。為了識別已知的惡意來源，Anti-DDoS 保護會對直接用戶端 IP 地址和 X-Forwarded-For (XFF) 標頭執行主機上篩選。識別已知惡意來源後，會透過兩種模式之一來啟用保護：

在** DDoS 下作用中**是預設保護模式，建議大多數使用案例使用。

此模式：
+ 在偵測高負載條件或潛在的 DDoS 事件時自動啟用保護
+ Rate-limits 僅在攻擊條件期間來自已知惡意來源的流量
+ 將正常操作期間對合法流量的影響降至最低
+ 使用 Application Load Balancer 運作狀態指標和 AWS WAF 回應資料來判斷何時啟用保護

**Always on** 是選用模式，啟用後一律處於作用中狀態。

此模式：
+ 持續防範已知惡意來源
+ Rate-limiting 即時限制來自已知惡意來源的流量
+ 對 XFF 標頭中具有惡意 IPs直接連線和請求套用保護
+ 對合法流量的影響可能較高，但可提供最大的安全性

資源層級 DDoS 保護封鎖的請求會記錄在 CloudWatch 日誌中，做為 `LowReputationPacketsDropped`或 `LowReputationRequestsDenied`指標。如需相關資訊，請參閱[AWS WAF 核心指標和維度](waf-metrics.md#waf-metrics-general)。

## 在現有的 webACL 上啟用標準 DDoS 保護
<a name="enabling-protection-alb"></a>

您可以在建立 Web ACL 時啟用 DDoS 保護，或更新與 Application Load Balancer 相關聯的現有 Web ACL。

**注意**  
如果您有與 Application Load Balancer 相關聯的現有 Web ACL，則預設會在 DDoS 模式下使用 **Active 啟用反 DDoS** 保護。

**在 AWS WAF 主控台中啟用反 DDoS 保護**

1. 登入 AWS 管理主控台 並在 https：//[https://console.aws.amazon.com/wafv2/homev2](https://console.aws.amazon.com/wafv2/homev2) 開啟 AWS WAF 主控台。

1. 在導覽窗格中選擇 **Web ACLs**，然後開啟與 Application Load Balancer 相關聯的任何 Web ACL。

1. 選擇**關聯的 AWS 資源**。

1. 在**資源層級 DDoS 保護**下，選擇**編輯**。

1. 選取下列其中一個保護模式：
   + 在** DDoS 下作用中** （建議） - 只有在高負載條件下才啟用保護
   + **Always on** - 針對已知惡意來源的 Always-on 保護

1. 選擇**儲存變更**。

**注意**  
如需建立 Web ACL 的詳細資訊，請參閱 [在 中建立保護套件 (Web ACL) AWS WAF](web-acl-creating.md)。

**最佳化 Application Load Balancer 的 Web ACL 請求成本**  
您必須將 Web ACL 與 Application Load Balancer 建立關聯，才能啟用資源層級保護。如果您的 Application Load Balancer 與沒有組態的 Web ACL 相關聯，則不會從 AWS WAF 請求產生費用，但是， AWS WAF 不會在 CloudWatch 指標中提供 Application Load Balancer 的範例請求或報告。您可以採取下列動作來啟用 Application Load Balancer 的可觀測性功能：  
在 中使用 `Block` 動作或 `Allow`動作搭配自訂請求標頭`DefaultAction`。如需相關資訊，請參閱[插入非封鎖動作的自訂請求標頭](customizing-the-incoming-request.md)。
將任何規則新增至 Web ACL。如需相關資訊，請參閱[AWS WAF 規則](waf-rules.md)。
啟用記錄目的地。如需相關資訊，請參閱[設定保護套件的記錄 (Web ACL)](logging-management-configure.md)。
將 Web ACL 與 AWS Firewall Manager 政策建立關聯。如需相關資訊，請參閱[為 建立 AWS Firewall Manager 政策 AWS WAF](create-policy.md#creating-firewall-manager-policy-for-waf)。
AWS WAF 如果沒有這些組態， 將不會提供抽樣請求或發佈 CloudWatch 指標。

# 使用反 DDoS 受管規則群組的進階 AWS WAF 反 DDoS 保護
<a name="waf-anti-ddos-advanced"></a>

`AWSManagedRulesAntiDDoSRuleSet` 受管規則群組是 中最進階的反 DDoS 保護層 AWS WAF。

**注意**  
當您使用此受管規則群組時，需支付額外費用。如需詳細資訊，請參閱[AWS WAF 定價](https://aws.amazon.com/waf/pricing/)。

## AWS WAF 反 DDoS 保護元件
<a name="waf-anti-ddos-components"></a>

在 中實作進階反 DDoS 保護的主要元件 AWS WAF 包括下列項目：

**`AWSManagedRulesAntiDDoSRuleSet`** – 偵測、標記和挑戰可能參與 DDoS 攻擊的請求。它也會在事件期間標記對受保護資源的所有請求。如需規則群組規則和標籤的詳細資訊，請參閱 [AWS WAF 分散式阻斷服務 (DDoS) 預防規則群組](aws-managed-rule-groups-anti-ddos.md)。若要使用此規則群組，請使用受管規則群組參考陳述式將其包含在保護套件 (Web ACL) 中。如需相關資訊，請參閱[將 Anti-DDoS 受管規則群組新增至您的保護套件 (Web ACL)](waf-anti-ddos-rg-using.md)。
+ **Web ACL 流量概觀儀表板** – 在主控台中提供 DDoS 活動和反 DDoS 回應的監控。如需詳細資訊，請參閱[保護套件的流量概觀儀表板 (Web ACLs)](web-acl-dashboards.md)。
+ **記錄和指標** – 可讓您監控流量並了解反 DDoS 保護效果。為您的保護套件 (Web ACL) 設定日誌、Amazon Security Lake 資料收集和 Amazon CloudWatch 指標。如需這些選項的詳細資訊，請參閱 [記錄 AWS WAF 保護套件 (Web ACL) 流量](logging.md)、 [使用 Amazon CloudWatch 監控](monitoring-cloudwatch.md)和[什麼是 Amazon Security Lake？](https://docs.aws.amazon.com/security-lake/latest/userguide/what-is-security-lake.html)。
+ **標籤和標籤比對規則** – 可讓您自訂處理由 Anti-DDoS 受管規則群組識別的 Web 請求。對於 中的任何規則`AWSManagedRulesAntiDDoSRuleSet`，您可以切換到計數模式並比對新增的標籤。如需詳細資訊，請參閱[標籤比對規則陳述式](waf-rule-statement-type-label-match.md)及[中的 Web 請求標籤 AWS WAF](waf-labels.md)。
+ **自訂請求和回應** – 可讓您將自訂標頭新增至允許的請求，並傳送封鎖請求的自訂回應。將標籤比對與 AWS WAF 自訂請求和回應功能配對。如需詳細資訊，請參閱[中的自訂 Web 請求和回應 AWS WAF](waf-custom-request-response.md)。

# 將 Anti-DDoS 受管規則群組新增至您的保護套件 (Web ACL)
<a name="waf-anti-ddos-rg-using"></a>

本節說明如何新增和設定`AWSManagedRulesAntiDDoSRuleSet`規則群組。

若要設定 Anti-DDoS 受管規則群組，您可以提供設定，包括規則群組對 DDoS 攻擊的敏感度，以及對正在或可能正在參與攻擊的請求採取的動作。此組態是受管規則群組的一般組態以外的組態。

如需規則群組描述和規則和標籤清單，請參閱 [AWS WAF 分散式阻斷服務 (DDoS) 預防規則群組](aws-managed-rule-groups-anti-ddos.md)。

本指南適用於通常知道如何建立和管理 AWS WAF 保護套件 (Web ACLs)、規則和規則群組的使用者。這些主題涵蓋在本指南的先前章節中。如需如何將受管規則群組新增至保護套件 (Web ACL) 的基本資訊，請參閱 [透過主控台將受管規則群組新增至保護套件 (Web ACL)](waf-using-managed-rule-group.md)。

**遵循最佳實務**  
根據 的最佳實務使用 Anti-DDoS 規則群組[中的智慧型威脅防禦最佳實務 AWS WAF](waf-managed-protections-best-practices.md)。

**在保護套件中使用`AWSManagedRulesAntiDDoSRuleSet`規則群組 (Web ACL)**

1. 將 AWS 受管規則群組`AWSManagedRulesAntiDDoSRuleSet`新增至保護套件 (Web ACL)，並在儲存之前**編輯**規則群組設定。
**注意**  
當您使用此受管規則群組時，需支付額外費用。如需詳細資訊，請參閱[AWS WAF 定價](https://aws.amazon.com/waf/pricing/)。

1. 在**規則群組組態**窗格中，為`AWSManagedRulesAntiDDoSRuleSet`規則群組提供任何自訂組態。

   1. 針對**區塊敏感度層級**，指定您希望規則在規則群組的 DDoS 可疑標籤上相符`DDoSRequests`時的敏感度。敏感度越高，規則符合的標記層級就越低：
      + 低敏感度較不敏感，導致規則僅與攻擊中最明顯的參與者相符，且具有高度可疑的標籤 `awswaf:managed:aws:anti-ddos:high-suspicion-ddos-request`。
      + 中等敏感度會導致規則在中等和高度懷疑標籤上相符。
      + 高敏感度會導致規則在所有可疑標籤上相符：低、中和高。

      此規則提供對疑似參與 DDoS 攻擊之 Web 請求的最嚴重處理方式。

   1. 針對**啟用挑戰**，選擇是否啟用規則 `ChallengeDDoSRequests`和 `ChallengeAllDuringEvent`，預設會將Challenge動作套用至相符的請求。

      這些規則提供請求處理，旨在允許合法使用者繼續處理其請求，同時封鎖 DDoS 攻擊的參與者。您可以將其動作設定覆寫為 Allow或 ，Count也可以完全停用其使用。

      如果您啟用這些規則，請提供您想要的任何其他組態：
      + 針對**挑戰敏感度等級**，指定您希望規則`ChallengeDDoSRequests`的敏感度。

        敏感度越高，規則符合的標記層級就越低：
        + 低敏感度較不敏感，導致規則僅與攻擊中最明顯的參與者相符，且具有高度可疑的標籤 `awswaf:managed:aws:anti-ddos:high-suspicion-ddos-request`。
        + 中等敏感度會導致規則在中等和高度懷疑標籤上相符。
        + 高敏感度會導致規則在所有可疑標籤上相符：低、中和高。
      + 對於**豁免 URI 規則表達式**，提供符合無法處理無提示瀏覽器挑戰之 Web 請求 URIs 的規則表達式。Challenge 動作會有效地封鎖來自缺少挑戰字符URIs 的請求，除非它們可以處理靜音瀏覽器挑戰。

        動作Challenge只能由預期 HTML 內容的用戶端正確處理。如需 動作運作方式的詳細資訊，請參閱 [CAPTCHA 和 Challenge動作行為](waf-captcha-and-challenge-actions.md)。

        檢閱預設規則表達式並視需要更新。規則使用指定的規則表達式來識別無法處理Challenge動作的請求 URIs，並防止規則傳送挑戰回去。您以這種方式排除的請求只能由規則群組使用規則 來封鎖`DDoSRequests`。

        主控台提供的預設表達式涵蓋大多數使用案例，但您應該檢閱並針對應用程式進行調整。

        AWS WAF 支援 PCRE 程式庫使用的模式語法`libpcre`，但有一些例外。程式庫記錄在 [PCRE - Perl 相容規則表達式](http://www.pcre.org/)中。如需 AWS WAF 支援的相關資訊，請參閱 [中支援的規則表達式語法 AWS WAF](waf-regex-pattern-support.md)。

1. 為規則群組提供您想要的任何其他組態，並儲存規則。
**注意**  
AWS 建議不要搭配此受管規則群組使用縮小範圍陳述式。縮小範圍陳述式會限制規則群組觀察到的請求，因此可能會導致流量基準不準確和 DDoS 事件偵測減少。縮小範圍陳述式選項適用於所有受管規則群組陳述式，但不應用於此陳述式。如需縮小範圍陳述式的資訊，請參閱 [在 中使用縮小範圍陳述式 AWS WAF](waf-rule-scope-down-statements.md)。

1. 在**設定規則優先順序**頁面中，將新的反 DDoS 受管規則群組規則向上移動，使其僅在您擁有的任何Allow動作規則之後以及在任何其他規則之前執行。這可讓規則群組追蹤最多流量以進行反 DDoS 保護。

1. 將變更儲存至保護套件 (Web ACL)。

在部署生產流量的反 DDoS 實作之前，請在預備或測試環境中進行測試和調校，直到您對流量的潛在影響感到滿意為止。然後，使用生產流量在計數模式中測試和調校規則，然後再啟用它們。如需指引，請參閱以下章節。

# 測試和部署反 DDoS
<a name="waf-anti-ddos-deploying"></a>

在部署功能之前，您會想要設定和測試 AWS WAF 分散式阻斷服務 (DDoS) 預防。本節提供設定和測試的一般指引，但您選擇遵循的特定步驟將取決於您收到的需求、資源和 Web 請求。

此資訊是 所提供測試和調校的一般資訊之外的[測試和調校您的 AWS WAF 保護](web-acl-testing.md)。

**注意**  
AWS 受管規則旨在保護您免受常見的 Web 威脅。根據文件使用時， AWS 受管規則規則群組會為您的應用程式新增另一層安全性。不過， AWS 受管規則規則群組並非旨在取代您的安全責任，這取決於您選擇的 AWS 資源。請參閱 [共同責任模型](https://aws.amazon.com/compliance/shared-responsibility-model/)，以確保您在 中的資源 AWS 受到適當保護。

**生產流量風險**  
在預備或測試環境中測試和調校您的反 DDoS 實作，直到您熟悉對流量的潛在影響為止。然後，使用生產流量在計數模式中測試和調校規則，然後再啟用它們。

本指南適用於通常知道如何建立和管理 AWS WAF 保護套件 (Web ACLs)、規則和規則群組的使用者。這些主題涵蓋在本指南的先前章節中。

**設定和測試 AWS WAF 分散式阻斷服務 (DDoS) 預防實作**

請先在測試環境中執行這些步驟，然後在生產環境中執行。

1. 

**在計數模式中新增 AWS WAF 分散式阻斷服務 (DDoS) 預防受管規則群組**
**注意**  
當您使用此受管規則群組時，需支付額外費用。如需詳細資訊，請參閱[AWS WAF 定價](https://aws.amazon.com/waf/pricing/)。

   將 AWS 受管規則規則群組`AWSManagedRulesAntiDDoSRuleSet`新增至新的或現有的保護套件 (Web ACL)，並加以設定，使其不會變更目前的保護套件 (Web ACL) 行為。如需此規則群組之規則和標籤的詳細資訊，請參閱 [AWS WAF 分散式阻斷服務 (DDoS) 預防規則群組](aws-managed-rule-groups-anti-ddos.md)。
   + 當您新增受管規則群組時，請進行編輯並執行下列動作：
     + 在**規則群組組態**窗格中，提供為 Web 流量執行反 DDoS 活動所需的詳細資訊。如需詳細資訊，請參閱[將 Anti-DDoS 受管規則群組新增至您的保護套件 (Web ACL)](waf-anti-ddos-rg-using.md)。
     + 在**規則**窗格中，開啟**覆寫所有規則動作**下拉式清單，然後選擇 **Count**。使用此組態， 會根據規則群組中的所有規則 AWS WAF 評估請求，並僅計算該結果的相符項目，同時仍將標籤新增至請求。如需詳細資訊，請參閱[覆寫規則群組中的規則動作](web-acl-rule-group-settings.md#web-acl-rule-group-rule-action-override)。

       透過此覆寫，您可以監控反 DDoS 受管規則的潛在影響，以判斷您是否要進行修改，例如為無法處理無提示瀏覽器挑戰URIs 擴展 regex。
   + 將規則群組置於允許流量的任何規則之後，盡快評估規則群組。規則會以遞增的數值優先順序進行評估。主控台會為您設定順序，從規則清單頂端開始。如需詳細資訊，請參閱[設定規則優先順序](web-acl-processing-order.md)。

1. 

**啟用保護套件的記錄和指標 (Web ACL)**

   視需要設定 保護套件 (Web ACL) 的記錄、Amazon Security Lake 資料收集、請求取樣和 Amazon CloudWatch 指標。您可以使用這些可見性工具來監控 Anti-DDoS 受管規則群組與流量的互動。
   + 如需設定和使用記錄的資訊，請參閱 [記錄 AWS WAF 保護套件 (Web ACL) 流量](logging.md)。
   + 如需 Amazon Security Lake 的相關資訊，請參閱《[Amazon Security Lake 使用者指南》中的什麼是 Amazon Security Lake？](https://docs.aws.amazon.com/security-lake/latest/userguide/what-is-security-lake.html)以及[從 AWS 服務收集資料](https://docs.aws.amazon.com/security-lake/latest/userguide/internal-sources.html)。 **
   + 如需 Amazon CloudWatch 指標的相關資訊，請參閱 [使用 Amazon CloudWatch 監控](monitoring-cloudwatch.md)。
   + 如需 Web 請求取樣的資訊，請參閱 [檢視 Web 請求的範例](web-acl-testing-view-sample.md)。

1. 

**將保護套件 (Web ACL) 與資源建立關聯**

   如果保護套件 (Web ACL) 尚未與測試資源建立關聯，請建立關聯。如需相關資訊，請參閱[將保護與 AWS 資源建立關聯或取消關聯](web-acl-associating-aws-resource.md)。

1. 

**監控流量和反 DDoS 規則相符項目**

   請確定您的正常流量正在流動，且 Anti-DDoS 受管規則群組規則正在將標籤新增至相符的 Web 請求。您可以在日誌中查看標籤，並在 Amazon CloudWatch 指標中查看反 DDoS 和標籤指標。在 日誌中，您已覆寫規則群組中計數的規則會顯示在 中，`ruleGroupList`並將 `action` 設定為計數，並`overriddenAction`指出您覆寫的已設定規則動作。

1. 

**自訂反 DDoS Web 請求處理**

   視需要新增您自己的規則，明確允許或封鎖請求，以變更反 DDoS 規則處理它們的方式。

   例如，您可以使用反 DDoS 標籤來允許或封鎖請求，或自訂請求處理。您可以在反 DDoS 受管規則群組之後新增標籤比對規則，以篩選要套用之處理方式的標記請求。測試之後，請將相關的反 DDoS 規則保持在計數模式中，並在您的自訂規則中維護請求處理決策。

1. 

**移除測試規則並設定反 DDoS 設定**

   檢閱您的測試結果，以判斷您希望在計數模式中保留哪些 Anti-DDoS 規則，僅進行監控。對於您想要使用作用中保護執行的任何規則，請在保護套件 (Web ACL) 規則群組組態中停用計數模式，以允許他們執行其設定的動作。完成這些設定後，請移除任何臨時測試標籤比對規則，同時保留您為生產用途建立的任何自訂規則。如需其他反 DDoS 組態考量，請參閱 [中的智慧型威脅防禦最佳實務 AWS WAF](waf-managed-protections-best-practices.md)。

1. 

**監控和調校**

   為了確保 Web 請求可依您想要的方式處理，請在啟用您要使用的反 DDoS 功能後密切監控流量。視需要使用規則群組上的規則計數覆寫和您自己的規則來調整行為。

# 反 DDoS 的最佳實務
<a name="waf-anti-ddos-best-practices"></a>
+ **在正常流量期間啟用保護** – 這可讓保護在回應攻擊之前建立基準流量模式。當您沒有遭受攻擊時新增保護，並允許建立基準的時間。
+ **定期監控指標** – 檢閱 CloudWatch 指標，以了解流量模式和保護有效性。
+ **考慮關鍵應用程式的主動模式** – 雖然大多數使用案例都建議使用被動模式，但對於需要持續防護已知威脅的應用程式，請考慮使用主動模式。
+ **在預備環境中測試** – 在生產環境中啟用保護之前，請在預備環境中測試和調校設定，以了解對合法流量的影響。