**の新しいコンソールエクスペリエンスの紹介 AWS WAF**

更新されたエクスペリエンスを使用して、コンソールの任意の場所で AWS WAF 機能にアクセスできるようになりました。詳細については、[「コンソールの使用](https://docs.aws.amazon.com/waf/latest/developerguide/working-with-console.html)」を参照してください。

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# Application Load Balancer のリソースレベルの DDoS 保護
<a name="waf-anti-ddos-alb"></a>

**リソースレベルの DDoS 保護**は、 AWS WAF マネージドルールグループのデプロイ料金を発生させることなく、Application Load Balancer に即時の防御を追加します。この標準レベルのアンチ DDoS 保護では、 AWS 脅威インテリジェンスとトラフィックパターン分析を使用して Application Load Balancer を保護します。既知の悪意のあるソースを特定するために、DDoS 対策保護は直接クライアント IP アドレスと X-Forwarded-For (XFF) ヘッダーの両方のオンホストフィルタリングを実行します。既知の悪意のあるソースが特定されると、次の 2 つのモードのいずれかで保護がアクティブ化されます。

**DDoS 下でアクティブ** はデフォルトの保護モードであり、ほとんどのユースケースで推奨されます。

このモードでは、以下を行います。
+ 高負荷条件または潜在的な DDoS イベントを検出すると、保護を自動的にアクティブ化します
+ 攻撃条件中にのみ既知の悪意のあるソースからのトラフィックをレート制限します。
+ 通常のオペレーション中の正当なトラフィックへの影響を最小限に抑えます
+ Application Load Balancer のヘルスメトリクスと AWS WAF レスポンスデータを使用して、いつ保護をエンゲージするかを判断します

**常時オン** はオプションモードであり、有効にすると常時アクティブになります。

このモードでは、以下を行います。
+ 既知の悪意のあるソースに対する継続的な保護を維持します
+ 既知の悪意のあるソースからのトラフィックをリアルタイムでレート制限します
+ XFF ヘッダーの悪意のある IP を使用した直接接続とリクエストの両方に保護を適用します
+ 正当なトラフィックに大きな影響を与える可能性がありますが、最大限のセキュリティを提供します

リソースレベルの DDoS 保護によってブロックされたリクエストは、CloudWatch ログに `LowReputationPacketsDropped`または `LowReputationRequestsDenied`メトリクスとして記録されます。詳細については、「[AWS WAF コアメトリクスとディメンション](waf-metrics.md#waf-metrics-general)」を参照してください。

## 既存の ウェブ ACL で標準 DDoS 保護を有効にします
<a name="enabling-protection-alb"></a>

ウェブ ACL を作成するとき、または Application Load Balancer に関連付けられた既存のウェブ ACL を更新するときに、DDoS 保護を有効にできます。

**注記**  
Application Load Balancer に関連付けられている既存のウェブ ACL がある場合、DDoS 保護はデフォルトで **DDoS モードでアクティブ** で有効になります。

**AWS WAF コンソールで DDoS 対策保護を有効にするには**

1. にサインイン AWS マネジメントコンソール し、[https://console.aws.amazon.com/wafv2/homev2](https://console.aws.amazon.com/wafv2/homev2) で AWS WAF コンソールを開きます。

1. ナビゲーションペインで **[ウェブ ACL]** を選択し、Application Load Balancer に関連付けられているウェブ ACL を開きます。

1. **関連付けられた AWS リソース**を選択します。

1. **リソースレベルの DDoS 保護** で、**編集** を選択します。

1. 次のいずれかのモードを選択します。
   + **DDoS でアクティブ** (推奨) - 保護は高負荷条件中でのみ機能します
   + **常時オン** - 既知の悪意のあるソースに対する常時オンの保護

1. **[Save changes]** (変更の保存) をクリックします。

**注記**  
ウェブ ACL の作成については、「[で保護パック (ウェブ ACL) を作成する AWS WAF](web-acl-creating.md)」を参照してください。

**Application Load Balancer のウェブ ACL リクエストコストを最適化するには**  
リソースレベルの保護を有効にするには、ウェブ ACL を Application Load Balancer に関連付ける必要があります。Application Load Balancer が設定のないウェブ ACL に関連付けられている場合、 AWS WAF リクエストに対して料金は発生しませんが、CloudWatch メトリクスの Application Load Balancer に対してサンプルリクエストやレポートを提供し AWS WAF ません。Application Load Balancer のオブザーバビリティ機能を有効にするには、次のアクションを実行できます。  
`DefaultAction` のカスタムリクエストヘッダーで `Allow` アクションまたは `Block` アクションを使用します。詳細については、「[ノンブロッキングアクションのためのカスタムリクエストヘッダーの挿入](customizing-the-incoming-request.md)」を参照してください。
任意のルールをウェブ ACL に追加します。詳細については、「[AWS WAF ルール](waf-rules.md)」を参照してください。
ログ記録の送信先を有効にします。詳細については、「[保護パック (ウェブ ACL) のログ記録の設定](logging-management-configure.md)」を参照してください。
ウェブ ACL を AWS Firewall Manager ポリシーに関連付けます。詳細については、「[の AWS Firewall Manager ポリシーの作成 AWS WAF](create-policy.md#creating-firewall-manager-policy-for-waf)」を参照してください。
AWS WAF は、これらの設定がないと、サンプルリクエストを提供したり、CloudWatch メトリクスを発行したりしません。