測試和部署反 DDoS

在部署功能之前，您會想要設定和測試 AWS WAF 分散式阻斷服務 (DDoS) 預防。本節提供設定和測試的一般指引，但您選擇遵循的特定步驟將取決於您收到的需求、資源和 Web 請求。

此資訊是 所提供測試和調校的一般資訊之外的測試和調校您的 AWS WAF 保護。

注意

AWS 受管規則旨在保護您免受常見的 Web 威脅。根據文件使用時， AWS 受管規則規則群組會為您的應用程式新增另一層安全性。不過， AWS 受管規則規則群組並非旨在取代您的安全責任，這取決於您選擇的 AWS 資源。請參閱 共同責任模型，以確保您在 中的資源 AWS 受到適當保護。

生產流量風險

在預備或測試環境中測試和調校您的反 DDoS 實作，直到您熟悉對流量的潛在影響為止。然後，使用生產流量在計數模式中測試和調整規則，然後再啟用它們。

本指南適用於通常知道如何建立和管理 AWS WAF 保護套件 (Web ACLs)、規則和規則群組的使用者。這些主題涵蓋在本指南的先前章節中。

設定和測試 AWS WAF 分散式阻斷服務 (DDoS) 預防實作

在測試環境中先執行這些步驟，然後在生產環境中執行。

1. 在計數模式中新增 AWS WAF 分散式阻斷服務 (DDoS) 預防受管規則群組

   注意

   當您使用此受管規則群組時，需支付額外費用。如需詳細資訊，請參閱AWS WAF 定價。

   將 AWS 受管規則規則群組AWSManagedRulesAntiDDoSRuleSet新增至新的或現有的保護套件 (Web ACL)，並加以設定，使其不會變更目前的保護套件 (Web ACL) 行為。如需此規則群組之規則和標籤的詳細資訊，請參閱 AWS WAF 分散式阻斷服務 (DDoS) 預防規則群組。

   • 當您新增受管規則群組時，請進行編輯並執行下列動作：

     • 在規則群組組態窗格中，提供為 Web 流量執行反 DDoS 活動所需的詳細資訊。如需詳細資訊，請參閱將 Anti-DDoS 受管規則群組新增至您的保護套件 (Web ACL)。

     • 在規則窗格中，開啟覆寫所有規則動作下拉式清單，然後選擇 Count。使用此組態， 會根據規則群組中的所有規則 AWS WAF 評估請求，並僅計算該結果的相符項目，同時仍將標籤新增至請求。如需詳細資訊，請參閱覆寫規則群組中的規則動作。

       透過此覆寫，您可以監控反 DDoS 受管規則的潛在影響，以判斷您是否要進行修改，例如為無法處理無提示瀏覽器挑戰URIs 擴展 regex。

   • 將規則群組置於允許流量的任何規則之後，盡快評估規則群組。規則會以遞增的數值優先順序進行評估。主控台會為您設定順序，從規則清單頂端開始。如需詳細資訊，請參閱設定規則優先順序。

2. 啟用保護套件的記錄和指標 (Web ACL)

   視需要設定 保護套件 (Web ACL) 的記錄、Amazon Security Lake 資料收集、請求取樣和 Amazon CloudWatch 指標。您可以使用這些可見性工具來監控 Anti-DDoS 受管規則群組與流量的互動。

   • 如需設定和使用記錄的相關資訊，請參閱 記錄 AWS WAF 保護套件 (Web ACL) 流量。

   • 如需 Amazon Security Lake 的相關資訊，請參閱《Amazon Security Lake 使用者指南》中的什麼是 Amazon Security Lake？以及從 AWS 服務收集資料。

   • 如需 Amazon CloudWatch 指標的相關資訊，請參閱 使用 Amazon CloudWatch 監控。

   • 如需 Web 請求取樣的資訊，請參閱 檢視 Web 請求的範例。

3. 將保護套件 (Web ACL) 與資源建立關聯

   如果保護套件 (Web ACL) 尚未與測試資源建立關聯，請建立關聯。如需相關資訊，請參閱將保護與 AWS 資源建立關聯或取消關聯。

4. 監控流量和反 DDoS 規則相符項目

   請確定您的正常流量正在流動，且 Anti-DDoS 受管規則群組規則正在將標籤新增至相符的 Web 請求。您可以在日誌中查看標籤，並在 Amazon CloudWatch 指標中查看反 DDoS 和標籤指標。在日誌中，您已覆寫要在規則群組中計數的規則會顯示在 中，ruleGroupList並將 action 設定為計數，並overriddenAction指出您覆寫的已設定規則動作。

5. 自訂反 DDoS Web 請求處理

   視需要新增您自己的規則，明確允許或封鎖請求，以變更反 DDoS 規則處理它們的方式。

   例如，您可以使用反 DDoS 標籤來允許或封鎖請求，或自訂請求處理。您可以在反 DDoS 受管規則群組之後新增標籤比對規則，以篩選要套用之處理方式的標記請求。測試之後，請將相關的反 DDoS 規則保持在計數模式中，並在您的自訂規則中維護請求處理決策。

6. 移除測試規則並設定反 DDoS 設定

   檢閱您的測試結果，以判斷您要在計數模式中保留哪些 Anti-DDoS 規則，只進行監控。對於您想要在主動保護下執行的任何規則，請在保護套件 (Web ACL) 規則群組組態中停用計數模式，以允許他們執行其設定的動作。完成這些設定後，請移除任何臨時測試標籤比對規則，同時保留您為生產用途建立的任何自訂規則。如需其他反 DDoS 組態考量，請參閱 中的智慧型威脅防禦最佳實務 AWS WAF。

7. 監控和調校

   為了確保 Web 請求可依您想要的方式處理，請在啟用您要使用的反 DDoS 功能後密切監控流量。視需要使用規則群組上的規則計數覆寫和您自己的規則來調整行為。