Agregar el grupo administrado de reglas anti-DDoS a su paquete de protección (ACL web) - AWS WAF, AWS Firewall Manager, AWS Shield Advanced y director de seguridad de red AWS Shield

Presentamos una nueva experiencia de consola para AWS WAF

Ahora puede usar la experiencia actualizada para acceder a las funciones de AWS WAF desde cualquier parte de la consola. Para obtener más información, consulta Trabajo con la experiencia de consola actualizada.

Agregar el grupo administrado de reglas anti-DDoS a su paquete de protección (ACL web)

En esta sección se explica cómo se agrega y configura el grupo de reglas AWSManagedRulesAntiDDoSRuleSet.

Para configurar el grupo de reglas administrado anti-DDoS, proporcione los ajustes que determinen el nivel de sensibilidad del grupo frente a ataques DDoS y las acciones que debe aplicar a las solicitudes que estén participando o que puedan estar participando en dichos ataques. Esta configuración se suma a la configuración normal de un grupo de reglas administradas.

Para ver la descripción del grupo de reglas y la lista de etiquetas y reglas, consulte Grupo de reglas de prevención contra la denegación de servicio distribuida (DDoS) de AWS WAF.

Esta guía está destinada a los usuarios que, en general, saben cómo crear y administrar paquetes de protección (web ACLs) AWS WAF, reglas y grupos de reglas. Estos temas se tratan en secciones anteriores de esta guía. Para obtener información básica sobre cómo agregar un grupo de reglas administrado a su paquete de protección (ACL web), consulte Adición de un grupo de reglas administradas a un paquete de protección (ACL web) a través de la consola.

Seguir las prácticas recomendadas

Utilice el grupo de reglas anti-DDoS de acuerdo con las prácticas recomendadas de Prácticas recomendadas para la mitigación inteligente de amenazas en AWS WAF.

Uso del grupo de reglas de AWSManagedRulesAntiDDoSRuleSet en su paquete de protección (ACL web)

  1. Agregue el grupo de reglas administrado de AWS AWSManagedRulesAntiDDoSRuleSet a su paquete de protección (ACL web) y edite la configuración del grupo de reglas antes de guardarlo.

    nota

    Se le cobrarán tarifas adicionales cuando utilice este grupo de reglas administradas. Para más información, consulte Precios de AWS WAF.

  2. En el panel Configuración del grupo de reglas, proporcione cualquier configuración personalizada para el grupo de reglas AWSManagedRulesAntiDDoSRuleSet.

    1. En el nivel de sensibilidad de bloqueo, especifique cuán sensible desea que sea la regla DDoSRequests al detectar niveles de sospecha de DDoS. A mayor sensibilidad, más bajo es el umbral de etiquetado necesario para que la regla coincida:

      • La sensibilidad baja es menos sensible, lo que hace que la regla coincida solo con los participantes más evidentes en un ataque, quienes tienen la etiqueta de sospecha alta awswaf:managed:aws:anti-ddos:high-suspicion-ddos-request.

      • La sensibilidad media hace que la regla coincida con las etiquetas de sospecha media y alta.

      • La sensibilidad alta hace que la regla coincida con todas las etiquetas de sospecha: baja, media y alta.

      Esta regla aplica el manejo más estricto a las solicitudes web que presuntamente participan participar en ataques DDoS.

    2. Para Habilitar desafío, elija si habilita las reglas ChallengeDDoSRequests y ChallengeAllDuringEvent, que de manera predeterminada aplican la acción Challenge a las solicitudes que coinciden.

      Estas reglas proporcionan un manejo de solicitudes diseñado para permitir que los usuarios legítimos continúen con sus solicitudes y, al mismo tiempo, bloquear a quienes participan en el ataque de DDoS. Puede reemplazar la acción por Allow o Count, o deshabilitar estas reglas.

      Si decide habilitarlas, proporcione cualquier configuración adicional que desee:

      • Para el el nivel de sensibilidad del desafío, especifique la sensibilidad que desea que la regla ChallengeDDoSRequests aplique.

        A mayor sensibilidad, más bajo es el umbral de etiquetado necesario para que la regla coincida:

        • La sensibilidad baja es menos sensible, lo que hace que la regla coincida solo con los participantes más evidentes en un ataque, quienes tienen la etiqueta de sospecha alta awswaf:managed:aws:anti-ddos:high-suspicion-ddos-request.

        • La sensibilidad media hace que la regla coincida con las etiquetas de sospecha media y alta.

        • La sensibilidad alta hace que la regla coincida con todas las etiquetas de sospecha: baja, media y alta.

      • Para las expresiones regulares de URI exentas, proporcione una expresión regular que coincida con las URI que no pueden manejar un desafío silencioso del navegador. La acción Challenge bloqueará las solicitudes provenientes de URI que no incluyan el token de desafío, a menos que el cliente pueda manejar el desafío silencioso del navegador.

        La acción Challenge solo funciona correctamente cuando el cliente espera contenido HTML. Para obtener más información sobre cómo funciona la acción, consulte Comportamiento de acción CAPTCHA y Challenge.

        Revise la expresión regular predeterminada y actualícela según sea necesario. as reglas usan la expresión regular especificada para identificar las URI de solicitud que no pueden manejar la acción Challenge y evitar que las reglas devuelvan un desafío. Las solicitudes que excluya de esta manera solo podrán bloquearse mediante el grupo de reglas que incluye la regla DDoSRequests.

        La expresión predeterminada que aparece en la consola cubre la mayoría de los casos de uso, pero debe revisarla y adaptarla a su aplicación.

        AWS WAF admite la sintaxis de patrones utilizada por la biblioteca PCRE libpcre, con algunas excepciones. La biblioteca está documentada en PCRE, expresiones regulares compatibles con Perl. Para obtener más información sobre la compatibilidad en AWS WAF, consulte Sintaxis de expresiones regulares compatibles en AWS WAF.

  3. Proporcione cualquier configuración adicional que desee para el grupo de reglas y guarde la regla.

    nota

    AWS recomienda no usar una instrucción de reducción de alcance con este grupo de reglas administrado. La instrucción de reducción de alcance limita las solicitudes que el grupo de reglas observa y puede producir una línea base de tráfico inexacta y una menor detección de eventos de DDoS. Aunque la opción de reducción de alcance está disponible para todas las declaraciones de grupos de reglas administrados, no debe usarse en este caso. Para obtener información sobre las instrucciones de restricción de acceso, consulte Uso de instrucciones de restricción de acceso en AWS WAF.

  4. En la página Establecer prioridad de regla, mueva hacia arriba la regla del grupo de reglas administrado anti-DDoS para que se ejecute solo después de cualquier regla con la acción Allow} y antes de cualquier otra regla. Esto le permite al grupo de reglas observar la mayor cantidad de tráfico para ofrecer protección anti-DDoS.

  5. Guarde los cambios en el paquete de protección (ACL web).

Antes de implementar cambios en su ACL web para el tráfico de producción, pruébelos y ajústelos en un entorno provisional o de prueba hasta que se sienta cómodo con el posible impacto en el tráfico. A continuación, pruebe y ajuste las reglas en el modo de recuento con el tráfico de producción antes de habilitarlas. Consulte la sección siguiente para obtener orientación.