**引入全新的主机体验 AWS WAF**

现在，您可以使用更新的体验访问控制台中任意位置的 AWS WAF 功能。有关更多详细信息，请参阅[使用控制台](https://docs.aws.amazon.com/waf/latest/developerguide/working-with-console.html)。

本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 使用 Ant DDo i-S 托管规则组进行高级 AWS WAF 反 DDo S 保护
<a name="waf-anti-ddos-advanced"></a>

`AWSManagedRulesAntiDDoSRuleSet`托管规则组是中可用的最高级的反 DDo S 保护层 AWS WAF。

**注意**  
使用此托管规则组时，您需要额外付费。有关更多信息，请参阅[AWS WAF 定价](https://aws.amazon.com/waf/pricing/)。

## AWS WAF 反 DDo S 保护组件
<a name="waf-anti-ddos-components"></a>

在中实现高级防 DDo S保护的主要组件 AWS WAF 包括以下内容：

**`AWSManagedRulesAntiDDoSRuleSet`**— 检测、标记和质疑可能参与 DDo S 攻击的请求。还可在活动期间标记对受保护资源的所有请求。有关规则组规则和标签的详细信息，请参阅 [AWS WAF 分布式拒绝服务 (DDoS) 防护规则组](aws-managed-rule-groups-anti-ddos.md)。要使用此规则组，请使用托管规则组参考语句将此规则组包含在保护包（web ACL）中。有关信息，请参阅[将 Anti-DDo S 托管规则组添加到您的保护包 (Web ACL)](waf-anti-ddos-rg-using.md)。
+ **Web ACL 流量概述仪表板** — 在控制台中监控 DDo DDo S 活动和反 S 响应。有关更多信息，请参阅 [保护包的流量概述仪表板 (Web ACLs)](web-acl-dashboards.md)。
+ **日志和指标**-允许您监控流量并了解 Anti-DDo S 防护的影响。为您的保护包（Web ACL）配置日志、Amazon Security Lake 数据收集和亚马逊 CloudWatch 指标。有关这些选项的信息，请参阅 [记录 AWS WAF 保护包 (Web ACL) 流量](logging.md)、[使用 Amazon 进行监控 CloudWatch](monitoring-cloudwatch.md) 和[什么是 Amazon Security Lake](https://docs.aws.amazon.com/security-lake/latest/userguide/what-is-security-lake.html)。
+ **标签和标签匹配规则**-允许您自定义对由 Anti-DDo S 托管规则组识别的 Web 请求的处理。对于 `AWSManagedRulesAntiDDoSRuleSet` 中的任何规则，您都可以切换到计数模式，并匹配已添加的标签。有关更多信息，请参阅 [标签匹配规则语句](waf-rule-statement-type-label-match.md) 和 [在 Web 请求中添加标签 AWS WAF](waf-labels.md)。
+ **自定义请求和响应**：可以在允许的请求中添加自定义标头，也可以向被阻止的请求发送自定义响应。将标签匹配与 AWS WAF 自定义请求和响应功能配对。有关更多信息，请参阅 [自定义的 Web 请求和响应 AWS WAF](waf-custom-request-response.md)。

# 将 Anti-DDo S 托管规则组添加到您的保护包 (Web ACL)
<a name="waf-anti-ddos-rg-using"></a>

本节介绍了如何添加和配置 `AWSManagedRulesAntiDDoSRuleSet` 规则组。

要配置 Anti-DDo S 托管规则组，您需要提供的设置包括规则组对 DDo S 攻击的敏感程度，以及它对参与攻击或可能参与攻击的请求所采取的操作。此配置是对托管规则组的常规配置的补充。

有关规则组描述及规则和标签列表，请参阅 [AWS WAF 分布式拒绝服务 (DDoS) 防护规则组](aws-managed-rule-groups-anti-ddos.md)。

本指南适用于一般了解如何创建和管理 AWS WAF 保护包 (Web ACLs)、规则和规则组的用户。这些主题将在本指南的前面章节中介绍。有关如何将托管规则组添加到保护包（web ACL）的基本信息，请参阅 [通过控制台向保护包（web ACL）添加托管规则组](waf-using-managed-rule-group.md)。

**遵循最佳实践**  
按照中的最佳做法使用 Anti-DDo S 规则组[中智能缓解威胁的最佳实践 AWS WAF](waf-managed-protections-best-practices.md)。

**在保护包（web ACL）中使用 `AWSManagedRulesAntiDDoSRuleSet` 规则组**

1. 将 AWS 托管规则组`AWSManagedRulesAntiDDoSRuleSet`添加到您的保护包（Web ACL）中，并在保存之前**编辑**规则组设置。
**注意**  
使用此托管规则组时，您需要额外付费。有关更多信息，请参阅[AWS WAF 定价](https://aws.amazon.com/waf/pricing/)。

1. 在**规则组配置**窗格中，为 `AWSManagedRulesAntiDDoSRuleSet` 规则组提供任何自定义配置。

   1. 对于**区块敏感度级别**，指定在规则组的 DDo S `DDoSRequests` 可疑标签上匹配时您希望规则的敏感程度。敏感度越高，规则匹配的标签级别就越低：
      + 低灵敏度意味着规则匹配能力较弱，仅能识别攻击中最明显的参与者，这些参与者具有高度可疑的标签 `awswaf:managed:aws:anti-ddos:high-suspicion-ddos-request`。
      + 中等敏感度会使规则同时匹配中等和高度可疑标签。
      + 高敏感度使规则匹配所有可疑标签：低、中、高。

      此规则对涉嫌参与 DDo S 攻击的 Web 请求提供了最严格的处理。

   1. 在**启用质询**中，选择是否启用规则 `ChallengeDDoSRequests` 和 `ChallengeAllDuringEvent`，默认情况下，这些规则会将 Challenge 操作应用于匹配的请求。

      这些规则提供了请求处理，旨在允许合法用户继续处理其请求，同时阻止 DDo S 攻击的参与者。您可以将相关操作设置覆盖为 Allow 或 Count，也可以完全禁用。

      如果要启用这些规则，请提供所需的任何其他配置：
      + 在**质询敏感度级别**中，指定您希望 `ChallengeDDoSRequests` 规则达到的敏感程度。

        敏感度越高，规则匹配的标签级别就越低：
        + 低灵敏度意味着规则匹配能力较弱，仅能识别攻击中最明显的参与者，这些参与者具有高度可疑的标签 `awswaf:managed:aws:anti-ddos:high-suspicion-ddos-request`。
        + 中等敏感度会使规则同时匹配中等和高度可疑标签。
        + 高敏感度使规则匹配所有可疑标签：低、中、高。
      + 对于**豁免 URI 正则表达式**，请提供与无法处理静默浏览器挑战的 Web 请求相匹配 URIs 的正则表达式。该Challenge操作将有效地阻止缺少挑战令牌的请求，除非他们能够处理静默浏览器挑战。 URIs 

        仅预期接收 HTML 内容的客户端才能正确处理 Challenge 操作。有关操作工作原理的更多信息，请参阅 [CAPTCHA 和 Challenge 操作行为](waf-captcha-and-challenge-actions.md)。

        查看默认的正则表达式，并根据需要对其进行更新。这些规则使用指定的正则表达式来识别无法处理Challenge操作的请求 URIs ，并阻止规则发送回质询。仅使用规则 `DDoSRequests` 的规则组方可通过此方式阻止排除的请求。

        控制台中提供的默认表达式包含大多数使用案例，但您应根据自己的应用程序对其进行审查和调整。

        AWS WAF 支持 PCRE 库使用的模式语法，但`libpcre`有一些例外。该库记录在 [PCRE：与 Perl 兼容的正则表达式](http://www.pcre.org/)中。有关 AWS WAF 支持的信息，请参阅[中支持的正则表达式语法 AWS WAF](waf-regex-pattern-support.md)。

1. 为规则组提供所需的任何其他配置，并保存规则。
**注意**  
AWS 建议不要在此托管规则组中使用范围缩小语句。scope-down 语句限制了规则组观察到的请求，因此可能导致流量基线不准确并减少 DDo S 事件检测。范围缩小语句选项适用于所有托管规则组语句，但不应用于此语句。有关范围缩小语句的信息，请参阅 [在中使用范围缩小语句 AWS WAF](waf-rule-scope-down-statements.md)。

1. 在 “**设置规则优先级**” 页面中，将新的反 DDo S 托管规则组规则向上移动，使其仅在您拥有的任何Allow操作规则之后和任何其他规则之前运行。这使规则组能够跟踪最多的流量以进行反 DDo S 防护。

1. 保存对保护包（web ACL）的更改。

在为生产流量部署反 DDo S 实现之前，请在暂存或测试环境中对其进行测试和调整，直到您对流量可能产生的影响感到满意。然后，在启用之前，在计数模式下使用生产流量对规则进行测试和调整。有关指导，请参阅以下部分。

# 测试和部署 Anti-DDo S
<a name="waf-anti-ddos-deploying"></a>

在部署 AWS WAF 分布式拒绝服务 (DDoS) 防护功能之前，您需要配置和测试该功能。本节提供配置和测试的一般性指导，但您选择遵循的具体步骤将取决于您的需求、资源和收到的 web 请求。

此信息是对 [测试和调整您的 AWS WAF 保护措施](web-acl-testing.md) 中提供的有关测试和调整的一般信息的补充。

**注意**  
AWS 托管规则旨在保护您免受常见 Web 威胁的侵害。根据文档使用 AWS 托管规则组时，可以为您的应用程序增加另一层安全保护。但是， AWS 托管规则规则组并不是用来取代您的安全职责，后者由您选择的 AWS 资源决定。请参阅[分担责任模型](https://aws.amazon.com/compliance/shared-responsibility-model/)，确保您的资源 AWS 得到适当保护。

**生产流量风险**  
在试运行或测试环境中测试和调整您的反 DDo S实现，直到您对流量可能产生的影响感到满意。然后，在启用之前，在计数模式下使用生产流量对规则进行测试和调整。

本指南适用于一般了解如何创建和管理 AWS WAF 保护包 (Web ACLs)、规则和规则组的用户。这些主题将在本指南的前面章节中介绍。

**配置和测试 AWS WAF 分布式拒绝服务 (DDoS) 防护实现**

首先在测试环境中执行这些步骤，然后在生产环境中执行这些步骤。

1. 

**在计数模式下添加 AWS WAF 分布式拒绝服务 (DDoS) 防护托管规则组**
**注意**  
使用此托管规则组时，您需要额外付费。有关更多信息，请参阅[AWS WAF 定价](https://aws.amazon.com/waf/pricing/)。

   将 AWS 托管规则组`AWSManagedRulesAntiDDoSRuleSet`添加到新的或现有的保护包 (Web ACL) 中，并对其进行配置，使其不会改变当前保护包 (Web ACL) 的行为。有关此规则组的规则和标签的详细信息，请参阅 [AWS WAF 分布式拒绝服务 (DDoS) 防护规则组](aws-managed-rule-groups-anti-ddos.md)。
   + 添加托管规则组时，对其进行编辑并执行以下操作：
     + 在**规则组配置**窗格中，提供对 Web 流量执行反 DDo S 活动所需的详细信息。有关更多信息，请参阅 [将 Anti-DDo S 托管规则组添加到您的保护包 (Web ACL)](waf-anti-ddos-rg-using.md)。
     + 在**规则**窗格中，打开**覆盖所有规则操作**下拉列表并选择 **Count**。使用此配置， AWS WAF 可以根据规则组中的所有规则评估请求，并仅计算结果的匹配项，同时仍将标签添加到请求中。有关更多信息，请参阅 [覆盖规则组的规则操作](web-acl-rule-group-settings.md#web-acl-rule-group-rule-action-override)。

       使用此替换，您可以监视 Anti-DDo S 托管规则的潜在影响，以确定是否要进行修改，例如扩展无法处理静默浏览器挑战 URIs 的正则表达式。
   + 定位规则组，以便在任何允许流量的规则之后尽早对规则组进行评估。规则按数字优先级的升序顺序进行评估。控制台将按规则列表的顺序为您执行操作，从列表顶部开始。有关更多信息，请参阅 [设置规则优先级](web-acl-processing-order.md)。

1. 

**为保护包（web ACL）启用日志记录和指标**

   根据需要，为保护包（Web ACL）配置日志、Amazon Security Lake 数据收集、请求采样和亚马逊 CloudWatch 指标。您可以使用这些可见性工具来监控 Anti-DDo S 托管规则组与您的流量的交互情况。
   + 有关配置和使用日志记录的信息，请参阅 [记录 AWS WAF 保护包 (Web ACL) 流量](logging.md)。
   + 有关 Amazon Security Lake 的信息，请参阅[什么是亚马逊安全湖？](https://docs.aws.amazon.com/security-lake/latest/userguide/what-is-security-lake.html) 以及 *Amazon Security Lake 用户指南*中的[从 AWS 服务中收集数据](https://docs.aws.amazon.com/security-lake/latest/userguide/internal-sources.html)。
   + 有关 Amazon CloudWatch 指标的信息，请参阅[使用 Amazon 进行监控 CloudWatch](monitoring-cloudwatch.md)。
   + 有关 web 请求采样的信息，请参阅 [查看 web 请求示例](web-acl-testing-view-sample.md)。

1. 

**将保护包（web ACL）与资源关联**

   如果保护包（web ACL）尚未与测试资源关联，请将其关联。有关信息，请参阅[将保护与资源关联或取消关联 AWS](web-acl-associating-aws-resource.md)。

1. 

**监控流量和 Anti-DDo S 规则匹配情况**

   确保您的正常流量畅通，并且 Anti-DDo S 托管规则组规则正在为匹配的 Web 请求添加标签。您可以在日志中看到标签，也可以在 Amazon 指标中查看 Anti-DDo S 和标签 CloudWatch 指标。在日志中，您在规则组中覆盖计数的规则会显示在 `ruleGroupList` 中，`action` 设置为计数，`overriddenAction` 表示您覆盖的已配置规则操作。

1. 

**自定义 Ant DDo i-S Web 请求处理**

   根据需要，添加您自己的明确允许或阻止请求的规则，以更改 Anti-DDo S 规则处理请求的方式。

   例如，您可以使用 Anti-DDo S 标签来允许或阻止请求或自定义请求处理。您可以在 Anti-DDo S 托管规则组之后添加标签匹配规则，以筛选要应用的处理的已标记请求。测试后，将相关的 Anti-DDo S 规则保持在计数模式，并在自定义规则中维护请求处理决策。

1. 

**移除测试规则并配置 Anti-DDo S 设置**

   查看您的测试结果，以确定您希望将哪些 Anti-DDo S 规则保留在计数模式下仅用于监控。对于任何需要启用主动保护的规则，请在保护包（web ACL）规则组配置中禁用计数模式，以便这些规则能够执行其配置的操作。完成这些设置后，请移除所有临时测试标签匹配规则，同时保留为生产用途创建的所有自定义规则。有关其他 Ant DDo i-S 配置注意事项，请参阅[中智能缓解威胁的最佳实践 AWS WAF](waf-managed-protections-best-practices.md)。

1. 

**监控和调整**

   为确保 Web 请求得到您想要的处理，请在启用您打算使用的 Anti-DDo S 功能后密切监控您的流量。根据需要调整行为，使用规则组上的规则计数覆盖和您自己的规则。

# Anti-DDo S 的最佳实践
<a name="waf-anti-ddos-best-practices"></a>
+ **在正常流量期间启用防护**：这允许防护在响应攻击之前建立基准流量模式。在未遭遇攻击时添加防护，并预留建立基准的时间。
+ **定期监控指标**-查看 CloudWatch 指标以了解流量模式和保护效果。
+ **考虑使用关键应用程序的主动模式**：虽然大多数使用案例都建议使用被动模式，但对于需要持续防范已知威胁的应用程序，可以考虑使用主动模式。
+ **在暂存环境中进行测试**：在生产环境中启用防护之前，请在暂存环境中测试和调整设置，以了解对合法流量的影响。