**推出 的新主控台體驗 AWS WAF** 您現在可以使用更新後的體驗,在主控台的任何位置存取 AWS WAF 功能。如需詳細資訊,請參閱[使用 主控台](https://docs.aws.amazon.com/waf/latest/developerguide/working-with-console.html)。 本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。 # 將 Anti-DDoS 受管規則群組新增至您的保護套件 (Web ACL) 本節說明如何新增和設定`AWSManagedRulesAntiDDoSRuleSet`規則群組。 若要設定 Anti-DDoS 受管規則群組,您可以提供設定,包括規則群組對 DDoS 攻擊的敏感度,以及對正在或可能正在參與攻擊的請求採取的動作。此組態是受管規則群組的一般組態以外的組態。 如需規則群組描述和規則和標籤清單,請參閱 [AWS WAF 分散式阻斷服務 (DDoS) 預防規則群組](aws-managed-rule-groups-anti-ddos.md)。 本指南適用於通常知道如何建立和管理 AWS WAF 保護套件 (Web ACLs)、規則和規則群組的使用者。這些主題涵蓋在本指南的先前章節中。如需如何將受管規則群組新增至保護套件 (Web ACL) 的基本資訊,請參閱 [透過主控台將受管規則群組新增至保護套件 (Web ACL)](waf-using-managed-rule-group.md)。 **遵循最佳實務** 根據 的最佳實務使用 Anti-DDoS 規則群組[中的智慧型威脅防禦最佳實務 AWS WAF](waf-managed-protections-best-practices.md)。 **在保護套件中使用`AWSManagedRulesAntiDDoSRuleSet`規則群組 (Web ACL)** 1. 將 AWS 受管規則群組`AWSManagedRulesAntiDDoSRuleSet`新增至保護套件 (Web ACL),並在儲存之前**編輯**規則群組設定。 **注意** 當您使用此受管規則群組時,需支付額外費用。如需詳細資訊,請參閱[AWS WAF 定價](https://aws.amazon.com/waf/pricing/)。 1. 在**規則群組組態**窗格中,為`AWSManagedRulesAntiDDoSRuleSet`規則群組提供任何自訂組態。 1. 針對**區塊敏感度層級**,指定您希望規則在規則群組的 DDoS 可疑標籤上相符`DDoSRequests`時的敏感度。敏感度越高,規則符合的標記層級就越低: + 低敏感度較不敏感,導致規則僅與攻擊中最明顯的參與者相符,且具有高度可疑的標籤 `awswaf:managed:aws:anti-ddos:high-suspicion-ddos-request`。 + 中等敏感度會導致規則在中等和高度懷疑標籤上相符。 + 高敏感度會導致規則在所有可疑標籤上相符:低、中和高。 此規則提供對疑似參與 DDoS 攻擊之 Web 請求的最嚴重處理方式。 1. 針對**啟用挑戰**,選擇是否啟用規則 `ChallengeDDoSRequests`和 `ChallengeAllDuringEvent`,預設會將Challenge動作套用至相符的請求。 這些規則提供請求處理,旨在允許合法使用者繼續處理其請求,同時封鎖 DDoS 攻擊的參與者。您可以將其動作設定覆寫為 Allow或 ,Count也可以完全停用其使用。 如果您啟用這些規則,請提供您想要的任何其他組態: + 針對**挑戰敏感度等級**,指定您希望規則`ChallengeDDoSRequests`的敏感度。 敏感度越高,規則符合的標記層級就越低: + 低敏感度較不敏感,導致規則僅與攻擊中最明顯的參與者相符,且具有高度可疑的標籤 `awswaf:managed:aws:anti-ddos:high-suspicion-ddos-request`。 + 中等敏感度會導致規則在中等和高度懷疑標籤上相符。 + 高敏感度會導致規則在所有可疑標籤上相符:低、中和高。 + 對於**豁免 URI 規則表達式**,提供符合無法處理無提示瀏覽器挑戰之 Web 請求 URIs 的規則表達式。Challenge 動作會有效地封鎖來自缺少挑戰字符URIs 的請求,除非它們可以處理靜音瀏覽器挑戰。 動作Challenge只能由預期 HTML 內容的用戶端正確處理。如需 動作運作方式的詳細資訊,請參閱 [CAPTCHA 和 Challenge動作行為](waf-captcha-and-challenge-actions.md)。 檢閱預設規則表達式並視需要更新。規則使用指定的規則表達式來識別無法處理Challenge動作的請求 URIs,並防止規則傳送挑戰回去。您以這種方式排除的請求只能由規則群組使用規則 來封鎖`DDoSRequests`。 主控台提供的預設表達式涵蓋大多數使用案例,但您應該檢閱並針對應用程式進行調整。 AWS WAF 支援 PCRE 程式庫使用的模式語法`libpcre`,但有一些例外。程式庫記錄在 [PCRE - Perl 相容規則表達式](http://www.pcre.org/)中。如需 AWS WAF 支援的相關資訊,請參閱 [中支援的規則表達式語法 AWS WAF](waf-regex-pattern-support.md)。 1. 為規則群組提供您想要的任何其他組態,並儲存規則。 **注意** AWS 建議不要搭配此受管規則群組使用縮小範圍陳述式。縮小範圍陳述式會限制規則群組觀察到的請求,因此可能會導致流量基準不準確和 DDoS 事件偵測減少。縮小範圍陳述式選項適用於所有受管規則群組陳述式,但不應用於此陳述式。如需縮小範圍陳述式的資訊,請參閱 [在 中使用縮小範圍陳述式 AWS WAF](waf-rule-scope-down-statements.md)。 1. 在**設定規則優先順序**頁面中,將新的反 DDoS 受管規則群組規則向上移動,使其僅在您擁有的任何Allow動作規則之後以及在任何其他規則之前執行。這可讓規則群組追蹤最多流量以進行反 DDoS 保護。 1. 將變更儲存至保護套件 (Web ACL)。 在部署生產流量的反 DDoS 實作之前,請在預備或測試環境中進行測試和調校,直到您對流量的潛在影響感到滿意為止。然後,使用生產流量在計數模式中測試和調校規則,然後再啟用它們。如需指引,請參閱以下章節。