**Apresentando uma nova experiência de console para AWS WAF**

Agora você pode usar a experiência atualizada para acessar a AWS WAF funcionalidade em qualquer lugar do console. Para obter mais detalhes, consulte [Trabalhando com o console](https://docs.aws.amazon.com/waf/latest/developerguide/working-with-console.html). 

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Proteção DDo anti-S avançada usando o grupo de regras gerenciadas AWS WAF DDo Anti-S
<a name="waf-anti-ddos-advanced"></a>

O grupo de regras `AWSManagedRulesAntiDDoSRuleSet` gerenciadas é o nível mais avançado de proteções DDo anti-S disponível em AWS WAF.

**nota**  
Você paga taxas adicionais ao usar esse grupo de regras gerenciadas. Para obter mais informações, consulte [AWS WAF Preço](https://aws.amazon.com/waf/pricing/).

## AWS WAF Componentes DDo de proteção anti-S
<a name="waf-anti-ddos-components"></a>

Os principais componentes para implementar a proteção DDo anti-S avançada AWS WAF incluem o seguinte:

**`AWSManagedRulesAntiDDoSRuleSet`**— Detecta, rotula e desafia solicitações que provavelmente estão participando de um ataque DDo S. Também rotula todas as solicitações para um recurso protegido durante um evento. Para obter detalhes sobre as regras e rótulos do grupo de regras, consulte [AWS WAF Grupo de regras de prevenção de negação de serviço distribuído (DDoS)](aws-managed-rule-groups-anti-ddos.md). Para usar esse grupo de regras, o inclua no pacote de proteção (ACL da Web) usando uma instrução de referência do grupo de regras gerenciadas. Para mais informações, consulte [Adicionar o grupo de regras gerenciadas DDo Anti-S ao seu pacote de proteção (web ACL)](waf-anti-ddos-rg-using.md).
+ **Painéis de visão geral do tráfego da Web ACL** — fornecem monitoramento da atividade DDo S e das respostas DDo anti-S no console. Para obter mais informações, consulte [Painéis de visão geral do tráfego para pacotes de proteção (web) ACLs](web-acl-dashboards.md).
+ **Registro e métricas** — permitem monitorar o tráfego e entender os efeitos da proteção DDo anti-S. Configure registros, coleta de dados do Amazon Security Lake e CloudWatch métricas da Amazon para seu pacote de proteção (web ACL). Para obter informações sobre essas opções, consulte [Registrando o tráfego do pacote de AWS WAF proteção (Web ACL)](logging.md), [Monitoramento com a Amazon CloudWatch](monitoring-cloudwatch.md) e [O que é o Amazon Security Lake?](https://docs.aws.amazon.com/security-lake/latest/userguide/what-is-security-lake.html) .
+ **Rótulos e regras de correspondência** de rótulos — permitem que você personalize o tratamento de solicitações da web identificadas pelo grupo de regras gerenciadas do DDo Anti-S. Para qualquer regra em `AWSManagedRulesAntiDDoSRuleSet`, você pode alternar para o modo de contagem e fazer a correspondência com os rótulos adicionados. Para saber mais, consulte [Instrução de regra de correspondência de rótulo](waf-rule-statement-type-label-match.md) e [Rotulagem de solicitações da Web em AWS WAF](waf-labels.md).
+ **Solicitações e respostas personalizadas**: permite que você adicione cabeçalhos personalizados às solicitações permitidas e envie respostas personalizadas para solicitações bloqueadas. Combine a correspondência de etiquetas com recursos AWS WAF personalizados de solicitação e resposta. Para obter mais informações, consulte [Solicitações e respostas personalizadas da web em AWS WAF](waf-custom-request-response.md).

# Adicionar o grupo de regras gerenciadas DDo Anti-S ao seu pacote de proteção (web ACL)
<a name="waf-anti-ddos-rg-using"></a>

Esta seção explica como adicionar e configurar o grupo de regras `AWSManagedRulesAntiDDoSRuleSet`.

Para configurar o grupo de regras gerenciadas do DDo Anti-S, você fornece configurações que incluem a sensibilidade do grupo de regras aos ataques DDo S e as ações que ele executa em solicitações que estão ou possam estar participando dos ataques. Essa configuração é adicional à configuração normal de um grupo de regras gerenciadas. 

Para obter a descrição do grupo de regras e a lista de regras e rótulos, consulte [AWS WAF Grupo de regras de prevenção de negação de serviço distribuído (DDoS)](aws-managed-rule-groups-anti-ddos.md).

Esta orientação é destinada a usuários que geralmente sabem como criar e gerenciar pacotes de AWS WAF proteção (web ACLs), regras e grupos de regras. Esses tópicos são abordados nas seções anteriores deste guia. Para obter informações básicas sobre como adicionar um grupo de regras gerenciadas ao pacote de proteção (ACL da Web), consulte [Adicionar um grupo de regras gerenciadas a um pacote de proteção (ACL da Web) por meio do console](waf-using-managed-rule-group.md).

**Siga as práticas recomendadas**  
Use o grupo de regras DDo Anti-S de acordo com as melhores práticas em[Melhores práticas para mitigação inteligente de ameaças em AWS WAF](waf-managed-protections-best-practices.md). 

**Para usar o grupo de regras `AWSManagedRulesAntiDDoSRuleSet` no pacote de proteção (ACL da Web)**

1. Adicione o grupo de regras AWS gerenciadas `AWSManagedRulesAntiDDoSRuleSet` ao seu pacote de proteção (Web ACL) e **edite** as configurações do grupo de regras antes de salvar. 
**nota**  
Você paga taxas adicionais ao usar esse grupo de regras gerenciadas. Para obter mais informações, consulte [AWS WAF Preço](https://aws.amazon.com/waf/pricing/).

1. No painel **Configuração do grupo de regras**, forneça qualquer configuração personalizada para o grupo de regras `AWSManagedRulesAntiDDoSRuleSet`. 

   1. Em **Nível de sensibilidade do bloco**, especifique a confidencialidade que você deseja `DDoSRequests` que a regra tenha ao corresponder ao rótulo de suspeita DDo S do grupo de regras. Quanto maior a sensibilidade, menores são os níveis de rotulagem aos quais a regra corresponde: 
      + A baixa sensibilidade é menos sensível, fazendo com que a regra corresponda apenas aos participantes mais óbvios de um ataque, que têm o rótulo de alta suspeita `awswaf:managed:aws:anti-ddos:high-suspicion-ddos-request`.
      + A sensibilidade média faz com que a regra corresponda aos rótulos de suspeita média e alta.
      + A sensibilidade alta faz com que a regra corresponda aos rótulos de suspeita: baixa, média e alta.

      Essa regra fornece o tratamento mais severo de solicitações da web suspeitas de participarem de ataques DDo S. 

   1. Em **Habilitar desafio**, escolha se deseja habilitar as regras `ChallengeDDoSRequests` e `ChallengeAllDuringEvent`, que, por padrão, aplicam a ação Challenge às solicitações que correspondem. 

      Essas regras fornecem tratamento de solicitações com o objetivo de permitir que usuários legítimos prossigam com suas solicitações enquanto bloqueiam os participantes do ataque DDo S. Você pode substituir as configurações de ação com Allow ou Count ou desabilitar totalmente seu uso.

      Se você habilitar essas regras, forneça as configurações adicionais que desejar: 
      + Em **Nível de sensibilidade do desafio**, especifique a sensibilidade que você deseja que a regra `ChallengeDDoSRequests` tenha. 

        Quanto maior a sensibilidade, menores são os níveis de rotulagem aos quais a regra corresponde: 
        + A baixa sensibilidade é menos sensível, fazendo com que a regra corresponda apenas aos participantes mais óbvios de um ataque, que têm o rótulo de alta suspeita `awswaf:managed:aws:anti-ddos:high-suspicion-ddos-request`.
        + A sensibilidade média faz com que a regra corresponda aos rótulos de suspeita média e alta.
        + A sensibilidade alta faz com que a regra corresponda aos rótulos de suspeita: baixa, média e alta.
      + Para **expressões regulares de URI isento**, forneça uma expressão regular que corresponda às URIs solicitações da web que não conseguem lidar com um desafio silencioso do navegador. A Challenge ação bloqueará efetivamente as solicitações URIs que não tenham o token de desafio, a menos que elas consigam lidar com o desafio do navegador silencioso. 

        A ação Challenge só pode ser tratada adequadamente por um cliente que espere conteúdo HTML. Para saber mais sobre como as ações de regra funcionam, consulte [Comportamento de ações CAPTCHA e Challenge](waf-captcha-and-challenge-actions.md). 

        Revise a expressão regular padrão e atualize-a conforme necessário. As regras usam a expressão regular especificada para identificar a solicitação URIs que não consegue lidar com a Challenge ação e impedir que as regras retornem um desafio. As solicitações que você exclui dessa maneira só podem ser bloqueadas pelo grupo de regras com a regra `DDoSRequests`. 

        A expressão padrão fornecida no console abrange a maioria dos casos de uso, mas você deve analisá-la e adaptá-la à sua aplicação. 

        AWS WAF suporta a sintaxe padrão usada pela biblioteca PCRE, `libpcre` com algumas exceções. A biblioteca está documentada em [PCRE: Expressões regulares compatíveis com Perl](http://www.pcre.org/). Para obter informações sobre AWS WAF suporte, consulte[Sintaxe de expressão regular suportada em AWS WAF](waf-regex-pattern-support.md).

1. Forneça as configurações adicionais que desejar para o grupo de regras. 
**nota**  
AWS recomenda não usar uma declaração de escopo reduzido com esse grupo de regras gerenciadas. A instrução scope-down limita as solicitações que o grupo de regras observa e, portanto, pode resultar em uma linha de base de tráfego imprecisa e na diminuição da detecção do evento S. DDo A opção de instrução de redução de escopo está disponível para todas as instruções do grupo de regras gerenciadas, mas não deve ser usada para essa. Para informações sobre instruções de redução de escopo, consulte [Usando declarações de escopo reduzido em AWS WAF](waf-rule-scope-down-statements.md).

1. Na página **Definir prioridade da regra**, mova a nova regra do grupo de regras gerenciado DDo anti-S para cima para que ela seja executada somente após qualquer regra de Allow ação que você tenha e antes de qualquer outra regra. Isso dá ao grupo de regras a capacidade de rastrear a maior parte do tráfego para proteção DDo Anti-S. 

1. Salve suas alterações no pacote de proteção (ACL da Web). 

Antes de implantar sua implementação DDo anti-S para tráfego de produção, teste-a e ajuste-a em um ambiente de preparação ou teste até se sentir confortável com o impacto potencial em seu tráfego. Em seguida, teste e ajuste as regras no modo de contagem com seu tráfego de produção antes de ativá-las. Consulte a seção a seguir para obter orientação. 

# Testando e implantando o DDo Anti-S
<a name="waf-anti-ddos-deploying"></a>

Você desejará configurar e testar a prevenção de negação de serviço AWS WAF distribuída (DDoS) antes de implantar o recurso. Esta seção fornece orientações gerais para configuração e testes, no entanto, as etapas específicas que você escolher seguir dependerão de suas necessidades, recursos e solicitações da Web que receber. 

Essas informações são adicionais às informações gerais sobre testes e ajustes fornecidas em [Testando e ajustando suas AWS WAF proteções](web-acl-testing.md).

**nota**  
AWS As regras gerenciadas foram projetadas para proteger você contra ameaças comuns na web. Quando usados de acordo com a documentação, os grupos de regras de regras AWS gerenciadas adicionam outra camada de segurança aos seus aplicativos. No entanto, os grupos de regras de Regras AWS Gerenciadas não substituem suas responsabilidades de segurança, que são determinadas pelos AWS recursos que você seleciona. Consulte o [Modelo de Responsabilidade Compartilhada](https://aws.amazon.com/compliance/shared-responsibility-model/) para garantir que seus recursos AWS estejam devidamente protegidos. 

**Risco de tráfego de produção**  
Teste e ajuste sua implementação DDo anti-S em um ambiente de preparação ou teste até se sentir confortável com o impacto potencial em seu tráfego. Em seguida, teste e ajuste as regras no modo de contagem com seu tráfego de produção antes de ativá-las. 

Esta orientação é destinada a usuários que geralmente sabem como criar e gerenciar pacotes de AWS WAF proteção (web ACLs), regras e grupos de regras. Esses tópicos são abordados nas seções anteriores deste guia. 

**Para configurar e testar uma implementação de prevenção de negação de serviço AWS WAF distribuída (DDoS)**

Execute estas etapas primeiro em um ambiente de teste e depois na produção.

1. 

**Adicione o grupo de regras gerenciadas de prevenção de negação de serviço AWS WAF distribuído (DDoS) no modo de contagem**
**nota**  
Você paga taxas adicionais ao usar esse grupo de regras gerenciadas. Para obter mais informações, consulte [AWS WAF Preço](https://aws.amazon.com/waf/pricing/).

   Adicione o grupo de regras de regras AWS gerenciadas `AWSManagedRulesAntiDDoSRuleSet` a um pacote de proteção novo ou existente (Web ACL) e configure-o para que ele não altere o comportamento atual do pacote de proteção (Web ACL). Para obter detalhes sobre as regras e rótulos desse grupo de regras, consulte [AWS WAF Grupo de regras de prevenção de negação de serviço distribuído (DDoS)](aws-managed-rule-groups-anti-ddos.md).
   + Ao adicionar o grupo de regras gerenciadas, edite-o e faça o seguinte: 
     + No painel **Configuração do grupo de regras**, forneça os detalhes necessários para realizar atividades DDo anti-S para seu tráfego na web. Para obter mais informações, consulte [Adicionar o grupo de regras gerenciadas DDo Anti-S ao seu pacote de proteção (web ACL)](waf-anti-ddos-rg-using.md).
     + No painel **Regras**, abra o menu suspenso **Substituir todas as ações da regra** e escolha **Count**. Com essa configuração, o AWS WAF avalia as solicitações em relação a todas as regras do grupo de regras e conta apenas as correspondências resultantes, sem deixar de adicionar rótulos às solicitações. Para obter mais informações, consulte [Substituir ações de regra para um grupo de regras](web-acl-rule-group-settings.md#web-acl-rule-group-rule-action-override).

       Com essa substituição, você pode monitorar o impacto potencial das regras gerenciadas pelo DDo Anti-S para determinar se deseja fazer modificações, como expandir a expressão regular para aquelas URIs que não conseguem lidar com um desafio de navegador silencioso. 
   + Posicione o grupo de regras para que ele seja avaliado o mais cedo possível, imediatamente após qualquer regra que permita tráfego. As regras são avaliadas em ordem crescente de prioridade numérica. O console define a ordem para você, começando no início da sua lista de regras. Para saber mais, consulte [Definir prioridade das regras](web-acl-processing-order.md). 

1. 

**Habilitar registro em log e métricas para o pacote de proteção (ACL da Web)**

   Conforme necessário, configure o registro, a coleta de dados do Amazon Security Lake, a amostragem de solicitações e CloudWatch as métricas da Amazon para o pacote de proteção (web ACL). Você pode usar essas ferramentas de visibilidade para monitorar a interação do grupo de regras gerenciadas do DDo Anti-S com seu tráfego. 
   + Para obter informações sobre como configurar e usar logs, consulte [Registrando o tráfego do pacote de AWS WAF proteção (Web ACL)](logging.md). 
   + Para obter informações sobre o Amazon Security Lake, consulte [O que é o Amazon Security Lake?](https://docs.aws.amazon.com/security-lake/latest/userguide/what-is-security-lake.html) e [Coleta de dados de AWS serviços](https://docs.aws.amazon.com/security-lake/latest/userguide/internal-sources.html) no *guia do usuário do Amazon Security Lake*. 
   + Para obter informações sobre CloudWatch as métricas da Amazon, consulte[Monitoramento com a Amazon CloudWatch](monitoring-cloudwatch.md). 
   + Para obter informações sobre amostragem de solicitações da web, consulte [Visualizar um exemplo de solicitações da web](web-acl-testing-view-sample.md). 

1. 

**Associar o pacote de proteção (ACL da Web) a um recurso**

   Se o pacote de proteção (ACL da Web) ainda não estiver associado a um recurso de teste, faça isso. Para mais informações, consulte [Associar ou desassociar a proteção a um recurso AWS](web-acl-associating-aws-resource.md).

1. 

**Monitore o tráfego e as correspondências DDo de regras Anti-S**

   Verifique se o tráfego normal está fluindo e se as regras do grupo de regras gerenciadas pelo DDo Anti-S estão adicionando rótulos às solicitações da web correspondentes. Você pode ver os rótulos nos registros e ver as métricas do DDo Anti-S e do rótulo nas CloudWatch métricas da Amazon. Nos logs, as regras que você substituiu para contar no grupo de regras aparecem em `ruleGroupList` com `action` definido para contar e com `overriddenAction` indicando a ação de regra configurada que você substituiu. 

1. 

**Personalize o tratamento de solicitações web do DDo Anti-S**

   Conforme necessário, adicione suas próprias regras que permitam ou bloqueiem solicitações explicitamente, para alterar a forma como as regras DDo Anti-S lidariam com elas. 

   Por exemplo, você pode usar rótulos DDo Anti-S para permitir ou bloquear solicitações ou para personalizar o tratamento de solicitações. Você pode adicionar uma regra de correspondência de rótulos após o grupo de regras gerenciadas do DDo Anti-S para filtrar solicitações rotuladas para o tratamento que você deseja aplicar. Após o teste, mantenha as regras DDo anti-S relacionadas no modo de contagem e mantenha as decisões de tratamento da solicitação em sua regra personalizada. 

1. 

**Remova as regras de teste e defina as configurações do DDo Anti-S**

   Analise os resultados do teste para determinar quais regras DDo anti-S você deseja manter no modo de contagem somente para monitoramento. Para todas as regras que você deseja executar com a proteção ativa, desabilite o modo de contagem na configuração do grupo de regras do pacote de proteção (ACL da Web) para permitir que elas executem suas ações configuradas. Depois de finalizar essas configurações, remova todas as regras temporárias de correspondência de rótulos de teste, mantendo as regras personalizadas que você criou para uso em produção. Para considerações adicionais sobre a configuração do DDo Anti-S, consulte[Melhores práticas para mitigação inteligente de ameaças em AWS WAF](waf-managed-protections-best-practices.md).

1. 

**Monitore e ajuste**

   Para ter certeza de que as solicitações da web estão sendo tratadas como você deseja, monitore de perto seu tráfego depois de ativar a funcionalidade DDo Anti-S que você pretende usar. Ajuste o comportamento conforme necessário com a substituição da contagem de regras no grupo de regras e com suas próprias regras. 

# Melhores práticas para DDo anti-S
<a name="waf-anti-ddos-best-practices"></a>
+ **Habilite a proteção durante os períodos normais de tráfego**: isso permite que a proteção estabeleça padrões de linha de base de tráfego antes de responder aos ataques. Adicione proteção quando você não estiver enfrentando um ataque e reserve tempo para estabelecer a linha de base.
+ **Monitore as métricas regularmente** — revise CloudWatch as métricas para entender os padrões de tráfego e a eficácia da proteção.
+ **Considere o modo proativo para aplicações críticos**: embora o modo reativo seja recomendado para a maioria dos casos de uso, considere usar o modo proativo para aplicações que exigem proteção contínua contra ameaças conhecidas.
+ **Teste em ambientes de preparação**: antes de habilitar a proteção na produção, teste e ajuste as configurações em um ambiente de preparação para entender o impacto no tráfego legítimo.