**Présentation d'une nouvelle expérience de console pour AWS WAF**

Vous pouvez désormais utiliser l'expérience mise à jour pour accéder aux AWS WAF fonctionnalités n'importe où dans la console. Pour plus de détails, consultez la section [Utilisation de la console](https://docs.aws.amazon.com/waf/latest/developerguide/working-with-console.html). 

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

# Protection DDo anti-S avancée à l'aide du groupe de règles géré AWS WAF DDo anti-S
<a name="waf-anti-ddos-advanced"></a>

Le groupe de règles `AWSManagedRulesAntiDDoSRuleSet` gérées est le niveau de protection DDo anti-S le plus avancé disponible dans AWS WAF.

**Note**  
Des frais supplémentaires vous sont facturés lorsque vous utilisez ce groupe de règles géré. Pour plus d’informations, consultez [Tarification d’AWS WAF](https://aws.amazon.com/waf/pricing/).

## AWS WAF Composants de protection DDo anti-S
<a name="waf-anti-ddos-components"></a>

Les principaux composants permettant de mettre en œuvre DDo une protection anti-S avancée AWS WAF sont les suivants :

**`AWSManagedRulesAntiDDoSRuleSet`**— Détecte, étiquette et conteste les demandes susceptibles de participer à une attaque DDo S. Il étiquette également toutes les demandes adressées à une ressource protégée lors d'un événement. Pour plus de détails sur les règles et les libellés du groupe de règles, consultez[AWS WAF Groupe de règles de prévention du déni de service distribué (DDoS)](aws-managed-rule-groups-anti-ddos.md). Pour utiliser ce groupe de règles, incluez-le dans votre pack de protection (ACL Web) à l'aide d'une déclaration de référence de groupe de règles géré. Pour plus d'informations, consultez [Ajout du groupe de règles gérées DDo anti-S à votre pack de protection (ACL Web)](waf-anti-ddos-rg-using.md).
+ **Tableaux de bord de présentation du trafic Web ACL** : permettent de surveiller l'activité DDo S et les réponses DDo anti-S dans la console. Pour de plus amples informations, veuillez consulter [Tableaux de bord d'aperçu du trafic pour les packs de protection (Web ACLs)](web-acl-dashboards.md).
+ **Journalisation et statistiques** : vous permettent de surveiller le trafic et de comprendre les effets de la protection DDo anti-S. Configurez les journaux, la collecte de données Amazon Security Lake et CloudWatch les métriques Amazon pour votre pack de protection (ACL Web). Pour plus d'informations sur ces options[Trafic du pack de AWS WAF protection de journalisation (ACL Web)](logging.md), consultez[Surveillance avec Amazon CloudWatch](monitoring-cloudwatch.md), et [Qu'est-ce qu'Amazon Security Lake ?](https://docs.aws.amazon.com/security-lake/latest/userguide/what-is-security-lake.html) .
+ **Libellés et règles de correspondance** des libellés : vous permettent de personnaliser le traitement des requêtes Web identifiées par le groupe de règles gérées DDo Anti-S. Pour n'importe quelle règle`AWSManagedRulesAntiDDoSRuleSet`, vous pouvez passer en mode comptage et faire correspondre les étiquettes ajoutées. Pour plus d’informations, consultez [Déclaration relative à la règle de correspondance des étiquettes](waf-rule-statement-type-label-match.md) et [Étiquetage des requêtes Web dans AWS WAF](waf-labels.md).
+ **Demandes et réponses personnalisées** : vous permettent d'ajouter des en-têtes personnalisés aux demandes autorisées et d'envoyer des réponses personnalisées pour les demandes bloquées. Associez la correspondance d'étiquettes à des fonctionnalités de demande et de réponse AWS WAF personnalisées. Pour de plus amples informations, veuillez consulter [Demandes et réponses Web personnalisées dans AWS WAF](waf-custom-request-response.md).

# Ajout du groupe de règles gérées DDo anti-S à votre pack de protection (ACL Web)
<a name="waf-anti-ddos-rg-using"></a>

Cette section explique comment ajouter et configurer le groupe de `AWSManagedRulesAntiDDoSRuleSet` règles.

Pour configurer le groupe de règles géré DDo anti-S, vous fournissez des paramètres qui incluent le degré de sensibilité du groupe de règles aux attaques DDo S et les actions qu'il entreprend sur les demandes qui participent ou sont susceptibles de participer aux attaques. Cette configuration s'ajoute à la configuration normale d'un groupe de règles géré. 

Pour la description du groupe de règles et la liste des règles et des libellés, voir[AWS WAF Groupe de règles de prévention du déni de service distribué (DDoS)](aws-managed-rule-groups-anti-ddos.md).

Ce guide est destiné aux utilisateurs qui savent généralement comment créer et gérer des packs de AWS WAF protection (Web ACLs), des règles et des groupes de règles. Ces sujets sont abordés dans les sections précédentes de ce guide. Pour obtenir des informations de base sur l'ajout d'un groupe de règles géré à votre pack de protection (ACL Web), consultez[Ajout d'un groupe de règles géré à un pack de protection (ACL Web) via la console](waf-using-managed-rule-group.md).

**Suivez les meilleures pratiques**  
Utilisez le groupe de règles Anti- DDo S conformément aux meilleures pratiques de[Les meilleures pratiques pour l'atténuation intelligente des menaces dans AWS WAF](waf-managed-protections-best-practices.md). 

**Pour utiliser le groupe de `AWSManagedRulesAntiDDoSRuleSet` règles dans votre pack de protection (ACL Web)**

1. Ajoutez le groupe de règles AWS géré `AWSManagedRulesAntiDDoSRuleSet` à votre pack de protection (ACL Web) et **modifiez** les paramètres du groupe de règles avant de l'enregistrer. 
**Note**  
Des frais supplémentaires vous sont facturés lorsque vous utilisez ce groupe de règles géré. Pour plus d’informations, consultez [Tarification d’AWS WAF](https://aws.amazon.com/waf/pricing/).

1. Dans le volet de **configuration du groupe de règles**, indiquez toute configuration personnalisée pour le groupe de `AWSManagedRulesAntiDDoSRuleSet` règles. 

   1. Pour le **niveau de sensibilité du bloc**, spécifiez le degré de sensibilité que vous souhaitez attribuer `DDoSRequests` à la règle lors de la correspondance sur l'étiquette de suspicion DDo S du groupe de règles. Plus la sensibilité est élevée, plus les niveaux d'étiquetage auxquels la règle correspond sont faibles : 
      + Une faible sensibilité est moins sensible, de sorte que la règle ne s'applique qu'aux participants les plus évidents à une attaque, qui ont le plus de soupçons`awswaf:managed:aws:anti-ddos:high-suspicion-ddos-request`.
      + Une sensibilité moyenne fait correspondre la règle sur les étiquettes de suspicion moyenne et élevée.
      + Une sensibilité élevée fait en sorte que la règle correspond à toutes les étiquettes suspectes : faible, moyenne et élevée.

      Cette règle fournit le traitement le plus sévère des requêtes Web soupçonnées de participer à des attaques DDo S. 

   1. Pour **Enable challenge**, choisissez si vous souhaitez activer les règles `ChallengeDDoSRequests` et`ChallengeAllDuringEvent`, par défaut, lesquelles appliquent l'Challengeaction aux demandes correspondantes. 

      Ces règles fournissent un traitement des demandes destiné à permettre aux utilisateurs légitimes de traiter leurs demandes tout en bloquant les participants à l'attaque DDo S. Vous pouvez remplacer leurs paramètres d'action Allow Count ou désactiver complètement leur utilisation.

      Si vous activez ces règles, fournissez la configuration supplémentaire que vous souhaitez : 
      + Pour le **niveau de sensibilité du défi**, spécifiez le niveau de sensibilité que vous souhaitez attribuer `ChallengeDDoSRequests` à la règle. 

        Plus la sensibilité est élevée, plus les niveaux d'étiquetage auxquels la règle correspond sont faibles : 
        + Une faible sensibilité est moins sensible, de sorte que la règle ne s'applique qu'aux participants les plus évidents à une attaque, qui ont le plus de soupçons`awswaf:managed:aws:anti-ddos:high-suspicion-ddos-request`.
        + Une sensibilité moyenne fait correspondre la règle sur les étiquettes de suspicion moyenne et élevée.
        + Une sensibilité élevée fait en sorte que la règle correspond à toutes les étiquettes suspectes : faible, moyenne et élevée.
      + Pour les **expressions régulières d'URI exemptées**, fournissez une expression régulière qui correspond URIs aux requêtes Web qui ne peuvent pas gérer un problème de navigation silencieuse. L'Challengeaction bloquera efficacement les demandes URIs dont le jeton de défi est absent, à moins qu'elles ne puissent gérer le défi du navigateur silencieux. 

        L'Challengeaction ne peut être gérée correctement que par un client qui attend du contenu HTML. Pour plus d'informations sur le fonctionnement de l'action, consultez[CAPTCHAet comportement Challenge d'action](waf-captcha-and-challenge-actions.md). 

        Vérifiez l'expression régulière par défaut et mettez-la à jour si nécessaire. Les règles utilisent l'expression régulière spécifiée pour identifier les demandes URIs qui ne peuvent pas gérer l'Challengeaction et empêcher les règles de renvoyer un défi. Les demandes que vous excluez de cette manière ne peuvent être bloquées que par le groupe de règles associé à la règle`DDoSRequests`. 

        L'expression par défaut fournie dans la console couvre la plupart des cas d'utilisation, mais vous devez la revoir et l'adapter à votre application. 

        AWS WAF prend en charge la syntaxe des modèles utilisée par la bibliothèque PCRE, `libpcre` à quelques exceptions près. La bibliothèque est documentée sur [PCRE - Perl Compatible Regular Expressions](http://www.pcre.org/). Pour plus d'informations sur AWS WAF le support, consultez[Syntaxe d'expression régulière prise en charge dans AWS WAF](waf-regex-pattern-support.md).

1. Fournissez toute configuration supplémentaire que vous souhaitez pour le groupe de règles et enregistrez la règle. 
**Note**  
AWS recommande de ne pas utiliser d'instruction scope-down avec ce groupe de règles géré. L'instruction scope-down limite les demandes observées par le groupe de règles, ce qui peut entraîner une base de trafic inexacte et une diminution de la détection des événements DDo S. L'option d'instruction scope-down est disponible pour toutes les instructions du groupe de règles géré, mais ne doit pas être utilisée pour celle-ci. Pour plus d'informations sur les instructions de portée réduite, voir. [Utilisation d'instructions scope-down dans AWS WAF](waf-rule-scope-down-statements.md)

1. Sur la page **Définir la priorité des règles**, déplacez la nouvelle règle de groupe de règles géré DDo anti-S vers le haut afin qu'elle ne s'exécute qu'après toutes les règles Allow d'action que vous avez et avant toute autre règle. Cela permet au groupe de règles de suivre le plus de trafic à des fins de protection DDo anti-S. 

1. Enregistrez les modifications apportées au pack de protection (ACL Web). 

Avant de déployer votre implémentation DDo anti-S pour le trafic de production, testez-la et ajustez-la dans un environnement intermédiaire ou de test jusqu'à ce que vous soyez à l'aise avec l'impact potentiel sur votre trafic. Testez et ajustez ensuite les règles en mode comptage avec votre trafic de production avant de les activer. Consultez la section qui suit pour obtenir des conseils. 

# Tester et déployer Anti- DDo S
<a name="waf-anti-ddos-deploying"></a>

Vous devez configurer et tester la prévention du déni de service (DDoS) AWS WAF distribué avant de déployer la fonctionnalité. Cette section fournit des conseils généraux pour la configuration et les tests, mais les étapes spécifiques que vous choisissez de suivre dépendront de vos besoins, des ressources et des demandes Web que vous recevrez. 

Ces informations s'ajoutent aux informations générales sur les tests et le réglage fournies sur[Tester et ajuster vos AWS WAF protections](web-acl-testing.md).

**Note**  
AWS Les règles gérées sont conçues pour vous protéger contre les menaces Web les plus courantes. Lorsqu'ils sont utilisés conformément à la documentation, les groupes de règles AWS gérées ajoutent un niveau de sécurité supplémentaire à vos applications. Cependant, les groupes de règles AWS gérées ne sont pas destinés à remplacer vos responsabilités en matière de sécurité, qui sont déterminées par les AWS ressources que vous sélectionnez. Reportez-vous au [modèle de responsabilité partagée](https://aws.amazon.com/compliance/shared-responsibility-model/) pour vous assurer que vos ressources AWS sont correctement protégées. 

**Risque lié au trafic de production**  
Testez et ajustez votre implémentation DDo anti-S dans un environnement de test ou de test jusqu'à ce que vous soyez à l'aise avec l'impact potentiel sur votre trafic. Testez et ajustez ensuite les règles en mode comptage avec votre trafic de production avant de les activer. 

Ce guide est destiné aux utilisateurs qui savent généralement comment créer et gérer des packs de AWS WAF protection (Web ACLs), des règles et des groupes de règles. Ces sujets sont abordés dans les sections précédentes de ce guide. 

**Pour configurer et tester une mise en œuvre de la prévention du déni de service (DDoS) AWS WAF distribué**

Effectuez ces étapes d'abord dans un environnement de test, puis en production.

1. 

**Ajouter le groupe de règles gérées de prévention du déni de service (DDoS) AWS WAF distribué en mode décompte**
**Note**  
Des frais supplémentaires vous sont facturés lorsque vous utilisez ce groupe de règles géré. Pour plus d’informations, consultez [Tarification d’AWS WAF](https://aws.amazon.com/waf/pricing/).

   Ajoutez le groupe de règles AWS gérées `AWSManagedRulesAntiDDoSRuleSet` à un pack de protection (ACL Web) nouveau ou existant et configurez-le de manière à ce qu'il ne modifie pas le comportement actuel du pack de protection (ACL Web). Pour plus de détails sur les règles et les libellés de ce groupe de règles, consultez[AWS WAF Groupe de règles de prévention du déni de service distribué (DDoS)](aws-managed-rule-groups-anti-ddos.md).
   + Lorsque vous ajoutez le groupe de règles géré, modifiez-le et procédez comme suit : 
     + Dans le volet de **configuration du groupe de règles**, fournissez les informations nécessaires pour effectuer des activités DDo anti-S pour votre trafic Web. Pour de plus amples informations, veuillez consulter [Ajout du groupe de règles gérées DDo anti-S à votre pack de protection (ACL Web)](waf-anti-ddos-rg-using.md).
     + Dans le volet **Règles**, ouvrez le menu déroulant **Remplacer toutes les actions des règles** et choisissez. **Count** Avec cette configuration, AWS WAF évalue les demandes par rapport à toutes les règles du groupe de règles et ne compte que les correspondances qui en résultent, tout en ajoutant des étiquettes aux demandes. Pour de plus amples informations, veuillez consulter [Remplacer les actions des règles dans un groupe de règles](web-acl-rule-group-settings.md#web-acl-rule-group-rule-action-override).

       Grâce à cette dérogation, vous pouvez surveiller l'impact potentiel des règles gérées DDo anti-S afin de déterminer si vous souhaitez apporter des modifications, telles que l'extension de l'expression régulière pour les personnes URIs qui ne peuvent pas gérer un problème de navigateur silencieux. 
   + Positionnez le groupe de règles de manière à ce qu'il soit évalué le plus tôt possible, immédiatement après les règles autorisant le trafic. Les règles sont évaluées par ordre de priorité numérique croissant. La console définit l'ordre pour vous, en commençant par le haut de votre liste de règles. Pour de plus amples informations, veuillez consulter [Définition de la priorité des règles](web-acl-processing-order.md). 

1. 

**Activer la journalisation et les métriques pour le pack de protection (ACL Web)**

   Le cas échéant, configurez la journalisation, la collecte de données Amazon Security Lake, l'échantillonnage des demandes et CloudWatch les métriques Amazon pour le pack de protection (ACL Web). Vous pouvez utiliser ces outils de visibilité pour surveiller l'interaction du groupe de règles gérées DDo anti-S avec votre trafic. 
   + Pour plus d'informations sur la configuration et l'utilisation de la journalisation, consultez[Trafic du pack de AWS WAF protection de journalisation (ACL Web)](logging.md). 
   + Pour plus d'informations sur Amazon Security Lake, consultez [Qu'est-ce qu'Amazon Security Lake ?](https://docs.aws.amazon.com/security-lake/latest/userguide/what-is-security-lake.html) et [Collecte de données à partir AWS des services](https://docs.aws.amazon.com/security-lake/latest/userguide/internal-sources.html) décrits dans le *guide de l'utilisateur d'Amazon Security Lake*. 
   + Pour plus d'informations sur CloudWatch les métriques Amazon, consultez[Surveillance avec Amazon CloudWatch](monitoring-cloudwatch.md). 
   + Pour plus d'informations sur l'échantillonnage des requêtes Web, consultez[Affichage d'un exemple de demandes web](web-acl-testing-view-sample.md). 

1. 

**Associer le pack de protection (ACL Web) à une ressource**

   Si le pack de protection (ACL Web) n'est pas déjà associé à une ressource de test, associez-le. Pour plus d'informations, consultez [Associer ou dissocier une protection à une ressource AWS](web-acl-associating-aws-resource.md).

1. 

**Surveillez le trafic et les correspondances DDo aux règles anti-S**

   Assurez-vous que votre trafic normal circule et que les règles des groupes de règles gérés Anti- DDo S ajoutent des étiquettes aux requêtes Web correspondantes. Vous pouvez voir les étiquettes dans les journaux, ainsi que les statistiques DDo anti-S et relatives aux étiquettes dans les CloudWatch statistiques Amazon. Dans les journaux, les règles que vous avez remplacées pour être prises en compte dans le groupe de règles apparaissent dans le `ruleGroupList` champ « `action` set to count » et `overriddenAction` indiquent l'action de règle configurée que vous avez remplacée. 

1. 

**Personnaliser la gestion des requêtes Web Anti- DDo S**

   Le cas échéant, ajoutez vos propres règles qui autorisent ou bloquent explicitement les demandes, afin de modifier la façon dont les règles DDo anti-S les traiteraient autrement. 

   Par exemple, vous pouvez utiliser des étiquettes DDo anti-S pour autoriser ou bloquer les demandes ou pour personnaliser le traitement des demandes. Vous pouvez ajouter une règle de correspondance d'étiquettes après le groupe de règles géré DDo anti-S afin de filtrer les demandes étiquetées pour le traitement que vous souhaitez appliquer. Après le test, maintenez les règles DDo anti-S associées en mode décompte et conservez les décisions relatives au traitement des demandes dans votre règle personnalisée. 

1. 

**Supprimer les règles de test et configurer les paramètres Anti- DDo S**

   Passez en revue les résultats de vos tests pour déterminer les règles DDo anti-S que vous souhaitez conserver en mode comptage à des fins de surveillance uniquement. Pour toutes les règles que vous souhaitez exécuter avec une protection active, désactivez le mode de comptage dans la configuration du groupe de règles du pack de protection (ACL Web) pour leur permettre d'exécuter les actions configurées. Une fois que vous avez finalisé ces paramètres, supprimez toutes les règles de correspondance temporaires des étiquettes de test tout en conservant les règles personnalisées que vous avez créées pour une utilisation en production. Pour d'autres considérations relatives à la configuration DDo anti-S, voir[Les meilleures pratiques pour l'atténuation intelligente des menaces dans AWS WAF](waf-managed-protections-best-practices.md).

1. 

**Surveiller et régler**

   Pour vous assurer que les requêtes Web sont traitées comme vous le souhaitez, surveillez attentivement votre trafic après avoir activé la fonctionnalité DDo anti-S que vous souhaitez utiliser. Ajustez le comportement selon vos besoins en annulant le nombre de règles sur le groupe de règles et en appliquant vos propres règles. 

# Meilleures pratiques en matière d'DDoanti-S
<a name="waf-anti-ddos-best-practices"></a>
+ **Activez la protection pendant les périodes de trafic normales** : cela permet à la protection d'établir des modèles de trafic de base avant de répondre aux attaques. Ajoutez une protection lorsque vous n'êtes pas victime d'une attaque et prévoyez du temps pour l'établissement de base.
+ **Surveillez régulièrement les indicateurs** : passez en revue CloudWatch les indicateurs pour comprendre les modèles de trafic et l'efficacité de la protection.
+ **Envisagez le mode proactif pour les applications critiques** — Bien que le mode réactif soit recommandé dans la plupart des cas d'utilisation, envisagez d'utiliser le mode proactif pour les applications nécessitant une protection continue contre les menaces connues.
+ **Tester dans des environnements intermédiaires** : avant d'activer la protection en production, testez et ajustez les paramètres dans un environnement intermédiaire afin de comprendre l'impact sur le trafic légitime.