测试和部署 Anti-DDo S

在部署 AWS WAF 分布式拒绝服务 (DDoS) 防护功能之前，您需要配置和测试该功能。本节提供配置和测试的一般指导，但是您选择遵循的具体步骤将取决于您的需求、资源和收到的 Web 请求。

此信息是对 测试和调整您的 AWS WAF 保护措施 中提供的有关测试和调整的一般信息的补充。

注意

AWS 托管规则旨在保护您免受常见 Web 威胁的侵害。根据文档使用 AWS 托管规则组时，可以为您的应用程序增加另一层安全保护。但是， AWS 托管规则规则组并不是用来取代您的安全职责，后者由您选择的 AWS 资源决定。请参阅分担责任模型，确保您的资源 AWS 得到适当保护。

生产流量风险

在试运行或测试环境中测试和调整您的反 DDo S实现，直到您对流量可能产生的影响感到满意。然后，在启用之前，在计数模式下使用生产流量对规则进行测试和调整。

本指南适用于一般了解如何创建和管理 AWS WAF 保护包 (Web ACLs)、规则和规则组的用户。这些主题将在本指南的前面章节中介绍。

配置和测试 AWS WAF 分布式拒绝服务 (DDoS) 防护实现

首先在测试环境中执行这些步骤，然后在生产环境中执行这些步骤。

1. 在计数模式下添加 AWS WAF 分布式拒绝服务 (DDoS) 防护托管规则组

   注意

   使用此托管规则组时，您需要额外付费。有关更多信息，请参阅AWS WAF 定价。

   将 AWS 托管规则组AWSManagedRulesAntiDDoSRuleSet添加到新的或现有的保护包 (Web ACL) 中，并对其进行配置，使其不会改变当前保护包 (Web ACL) 的行为。有关此规则组的规则和标签的详细信息，请参阅 AWS WAF 分布式拒绝服务 (DDoS) 防护规则组。

   • 添加托管规则组时，对其进行编辑并执行以下操作：

     • 在规则组配置窗格中，提供对 Web 流量执行反 DDo S 活动所需的详细信息。有关更多信息，请参阅 将 Anti-DDo S 托管规则组添加到您的保护包 (Web ACL)。

     • 在规则窗格中，打开覆盖所有规则操作下拉列表并选择 Count。使用此配置， AWS WAF 可以根据规则组中的所有规则评估请求，并仅计算结果的匹配项，同时仍将标签添加到请求中。有关更多信息，请参阅 覆盖规则组的规则操作。

       使用此替换，您可以监视 Anti-DDo S 托管规则的潜在影响，以确定是否要进行修改，例如扩展无法处理静默浏览器挑战 URIs 的正则表达式。

   • 定位规则组，以便在允许流量的规则之后尽早对其进行评估。规则按数字优先级升序进行评估。控制台从规则列表的顶部开始为您设置顺序。有关更多信息，请参阅 设置规则优先级。

2. 启用保护包的日志记录和指标 (Web ACL)

   根据需要，为保护包（Web ACL）配置日志、Amazon Security Lake 数据收集、请求采样和亚马逊 CloudWatch 指标。您可以使用这些可见性工具来监控 Anti-DDo S 托管规则组与您的流量的交互情况。

   • 有关配置和使用日志记录的信息，请参阅 记录 AWS WAF 保护包 (Web ACL) 流量。

   • 有关 Amazon Security Lake 的信息，请参阅什么是亚马逊安全湖？ 以及 Amazon Security Lake 用户指南中的从 AWS 服务中收集数据。

   • 有关 Amazon CloudWatch 指标的信息，请参阅使用 Amazon 进行监控 CloudWatch。

   • 有关 Web 请求采样的信息，请参阅 查看 Web 请求示例。

3. 将保护包 (Web ACL) 与资源关联

   如果保护包 (Web ACL) 尚未与测试资源关联，请将其关联。有关信息，请参阅将保护与资源关联或取消关联 AWS。

4. 监控流量和 Anti-DDo S 规则匹配情况

   确保您的正常流量畅通，并且 Anti-DDo S 托管规则组规则正在为匹配的 Web 请求添加标签。您可以在日志中看到标签，也可以在 Amazon 指标中查看 Anti-DDo S 和标签 CloudWatch 指标。在日志中，您在规则组中覆盖计数的规则会显示在 ruleGroupList 中，action 设置为计数，overriddenAction 表示您覆盖的已配置规则操作。

5. 自定义 Ant DDo i-S Web 请求处理

   根据需要，添加您自己的明确允许或阻止请求的规则，以更改 Anti-DDo S 规则处理请求的方式。

   例如，您可以使用 Anti-DDo S 标签来允许或阻止请求或自定义请求处理。您可以在 Anti-DDo S 托管规则组之后添加标签匹配规则，以筛选要应用的处理的已标记请求。测试后，将相关的 Anti-DDo S 规则保持在计数模式，并在自定义规则中维护请求处理决策。

6. 移除测试规则并配置 Anti-DDo S 设置

   查看您的测试结果，以确定您希望将哪些 Anti-DDo S 规则保留在计数模式下仅用于监控。对于要在主动保护下运行的任何规则，请在保护包 (Web ACL) 规则组配置中禁用计数模式，以允许它们执行其配置的操作。完成这些设置后，请移除所有临时测试标签匹配规则，同时保留您为生产用途创建的所有自定义规则。有关其他 Ant DDo i-S 配置注意事项，请参阅中智能缓解威胁的最佳实践 AWS WAF。

7. 监控和调整

   为确保 Web 请求得到您想要的处理，请在启用您打算使用的 Anti-DDo S 功能后密切监控您的流量。根据需要调整行为，使用规则组上的规则计数覆盖和您自己的规则。