Apresentando uma nova experiência de console para AWS WAF
Agora você pode usar a experiência atualizada para acessar a AWS WAF funcionalidade em qualquer lugar do console. Para obter mais detalhes, consulte Trabalhando com o console.
As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Proteção DDo S em nível de recurso para balanceadores de carga de aplicativos
A proteção de nível de recurso DDo S adiciona defesa imediata aos Application Load Balancers sem incorrer em cobranças pela implantação de grupos de regras AWS WAF gerenciados. Esse nível padrão de proteção DDo anti-S usa inteligência de AWS ameaças e análise de padrões de tráfego para proteger os Application Load Balancers. Para identificar fontes maliciosas conhecidas, a proteção DDo Anti-S executa a filtragem no host dos endereços IP diretos do cliente e X-Forwarded-For dos cabeçalhos (XFF). Depois que uma fonte maliciosa conhecida é identificada, a proteção é ativada por um dos dois modos:
Ativo sob DDo S é o modo de proteção padrão e é recomendado para a maioria dos casos de uso.
Esse modo:
-
Ativa a proteção automaticamente ao detectar condições de alta carga ou possíveis DDo eventos S
-
Limita a taxa de tráfego de origens maliciosas conhecidas somente durante condições de ataque
-
Minimiza o impacto para o tráfego legítimo durante as operações normais
-
Usa métricas de integridade e dados de AWS WAF resposta do Application Load Balancer para determinar quando usar a proteção
Sempre ligado é um modo opcional que, uma vez habilitado, fica sempre ativo.
Esse modo:
-
Mantém a proteção contínua contra origens maliciosas conhecidas
-
Limita a taxa de tráfego de origens maliciosas conhecidas em tempo real
-
Aplica proteção a conexões diretas e solicitações com cabeçalhos maliciosos IPs em XFF
-
Pode ter um impacto maior no tráfego legítimo, mas oferece segurança máxima
As solicitações bloqueadas pela proteção DDo S no nível do recurso são registradas nos CloudWatch registros como uma métrica ou uma LowReputationPacketsDropped métrica. LowReputationRequestsDenied Para mais informações, consulte AWS WAF métricas e dimensões principais.
Ativar a proteção DDo S padrão em uma WebACL existente
Você pode ativar a proteção DDo S ao criar uma Web ACL ou atualizar uma Web ACL existente associada ao Application Load Balancer.
nota
Se você tiver uma Web ACL existente associada a um Application Load Balancer, a proteção DDo Anti-S será ativada por padrão DDocom Active no modo S.
Para ativar a proteção DDo Anti-S no AWS WAF console
Faça login no Console de gerenciamento da AWS e abra o AWS WAF console em https://console.aws.amazon.com/wafv2/homev2
. -
Escolha Web ACLs no painel de navegação e abra qualquer Web ACL associada a um Application Load Balancer.
-
Escolha AWS Recursos associados.
-
Em Proteção de nível DDo de recurso S, escolha Editar.
-
Você pode selecionar um dos seguintes modos:
-
Ativo em DDo S (recomendado) - A proteção é ativada somente em condições de alta carga
-
Sempre ativo: proteção sempre ativa contra origens maliciosas conhecidas
-
-
Escolha Salvar alterações.
nota
Para obter informações sobre a criação de uma ACL da Web, consulte Criando um pacote de proteção (web ACL) no AWS WAF.
Para otimizar os custos de solicitação de ACL da Web para seu Application Load Balancer
Você deve associar uma ACL da Web ao Application Load Balancer para habilitar proteção no nível do recurso. Se seu Application Load Balancer estiver associado a uma ACL da web sem configuração, você não incorrerá em cobranças de AWS WAF solicitações, mas não AWS WAF fornecerá amostras de solicitações ou relatórios sobre o Application Load Balancer em métricas. CloudWatch Você pode realizar as seguintes ações para habilitar os recursos de observabilidade do Application Load Balancer:
-
Use a ação
Blockou a açãoAllowcom cabeçalhos de solicitação personalizados noDefaultAction. Para mais informações, consulte Como inserir cabeçalhos de solicitação personalizados para ações sem bloqueio. -
Adicione as regras para uma ACL da Web. Para mais informações, consulte AWS WAF regras.
-
Habilite um destino de registro em log. Para mais informações, consulte Configurar registro em log para um pacote de proteção (ACL da Web).
-
Associe a ACL da web a uma AWS Firewall Manager política. Para mais informações, consulte Criação de uma AWS Firewall Manager política para AWS WAF.
AWS WAF não fornecerá amostras de solicitações nem publicará CloudWatch métricas sem essas configurações.
