Présentation d'une nouvelle expérience de console pour AWS WAF
Vous pouvez désormais utiliser l'expérience mise à jour pour accéder aux AWS WAF fonctionnalités n'importe où dans la console. Pour plus de détails, consultez la section Utilisation de la console.
Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Protection DDo S au niveau des ressources pour les équilibreurs de charge des applications
La protection de niveau DDo S des ressources ajoute une défense immédiate aux équilibreurs de charge des applications sans encourir de frais liés au déploiement de groupes de règles AWS WAF gérés. Ce niveau standard de protection DDo anti-S utilise les informations sur les AWS menaces et l'analyse des modèles de trafic pour protéger les équilibreurs de charge des applications. Pour identifier les sources malveillantes connues, la protection DDo anti-S effectue un filtrage sur l'hôte à la fois des adresses IP des clients directs et des en-têtes X-Forwarded-For (XFF). Une fois qu'une source malveillante connue est identifiée, la protection est activée via l'un des deux modes suivants :
Active sous DDo S est le mode de protection par défaut et est recommandé dans la plupart des cas d'utilisation.
Ce mode :
-
Active automatiquement la protection lors de la détection de conditions de charge élevée ou d'événements DDo S potentiels
-
Limite le trafic provenant de sources malveillantes connues uniquement en cas d'attaque
-
Minimise l'impact sur le trafic légitime pendant les opérations normales
-
Utilise les indicateurs de santé et les données de AWS WAF réponse de l'Application Load Balancer pour déterminer quand activer la protection
Always on est un mode optionnel qui est toujours actif une fois activé.
Ce mode :
-
Maintient une protection continue contre les sources malveillantes connues
-
Limite le trafic provenant de sources malveillantes connues en temps réel
-
Applique une protection aux connexions directes et aux demandes contenant des informations malveillantes IPs dans les en-têtes XFF
-
Peut avoir un impact plus important sur le trafic légitime mais offre une sécurité maximale
Les demandes bloquées par la protection DDo S au niveau des ressources sont enregistrées dans les CloudWatch journaux sous forme de métriques LowReputationPacketsDropped ou LowReputationRequestsDenied de métriques. Pour plus d'informations, consultez AWS WAF mesures et dimensions de base.
Activer la protection DDo S standard sur un WebACL existant
Vous pouvez activer la protection DDo S lorsque vous créez une ACL Web ou que vous mettez à jour une ACL Web existante associée à Application Load Balancer.
Note
Si vous disposez d'une ACL Web existante associée à un Application Load Balancer, la protection DDo anti-S est activée par défaut avec Active en mode DDo S.
Pour activer la protection DDo anti-S dans la AWS WAF console
Connectez-vous à la AWS WAF console AWS Management Console et ouvrez-la sur https://console.aws.amazon.com/wafv2/homev2
. -
Choisissez Web ACLs dans le volet de navigation, puis ouvrez n'importe quelle ACL Web associée à un Application Load Balancer.
-
Choisissez AWS Ressources associées.
-
Sous Protection de niveau DDo de ressource S, choisissez Modifier.
-
Sélectionnez l'un des modes de protection suivants :
-
Active sous DDo S (recommandé) - La protection ne s'active que dans des conditions de charge élevée
-
Toujours actif : protection permanente contre les sources malveillantes connues
-
-
Sélectionnez Enregistrer les modifications.
Note
Pour plus d'informations sur la création d'une ACL Web, consultezCréation d'un pack de protection (ACL Web) dans AWS WAF.
Pour optimiser les coûts des demandes ACL Web pour votre Application Load Balancer
Vous devez associer une ACL Web à votre Application Load Balancer pour activer la protection au niveau des ressources. Si votre Application Load Balancer est associé à une ACL Web qui n'a aucune configuration, les demandes ne vous seront pas facturées, mais vous ne fournirez pas d'échantillons de AWS WAF demandes ni ne AWS WAF publierez de rapports sur l'Application Load Balancer sous forme de métriques. CloudWatch Vous pouvez effectuer les actions suivantes pour activer les fonctionnalités d'observabilité pour l'Application Load Balancer :
-
Utilisez l'
Blockaction ou l'Allowaction avec des en-têtes de demande personnalisés dans leDefaultAction. Pour plus d'informations, consultez Insertion d'en-têtes de demande personnalisés pour les actions non bloquantes. -
Ajoutez des règles à l'ACL Web. Pour plus d'informations, consultez AWS WAF règles.
-
Activez une destination de journalisation. Pour plus d'informations, consultez Configuration de la journalisation pour un pack de protection (ACL Web).
-
Associez l'ACL Web à une AWS Firewall Manager politique. Pour plus d'informations, consultez Création d'une AWS Firewall Manager politique pour AWS WAF.
AWS WAF ne fournira pas d'échantillons de demandes ni ne publiera de CloudWatch métriques sans ces configurations.
