Verwaltung der automatischen DDoS-Abwehr auf Anwendungsebene - AWS WAF, AWS Firewall Manager, und AWS Shield Advanced
Konfiguration der automatischen Schadensbegrenzung für eine Ressource anzeigenAutomatische Abwehr aktivieren und deaktivierenÄnderung der Aktion zur automatischen AbwehrVerwendung AWS CloudFormation mit automatischer Abwehr

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Verwaltung der automatischen DDoS-Abwehr auf Anwendungsebene

Verwenden Sie die Anleitungen in diesem Abschnitt, um Ihre automatischen DDoS-Abwehrkonfigurationen auf Anwendungsebene zu verwalten. Informationen zur Funktionsweise der automatischen Abwehr finden Sie in den vorherigen Themen.

Anmerkung

Folgen Sie den unter beschriebenen bewährten Methoden. Bewährte Methoden für die Verwendung der automatischen Schadensbegrenzung

Konfiguration zur automatischen DDoS-Abwehr auf Anwendungsebene für eine Ressource anzeigen

Sie können die Konfiguration der automatischen DDoS-Abwehr auf Anwendungsebene für eine Ressource auf der Seite Geschützte Ressourcen und auf den einzelnen Schutzseiten einsehen.

Um die Konfiguration der automatischen DDoS-Abwehr auf Anwendungsebene anzuzeigen

  1. Melden Sie sich bei der AWS WAF & Shield-Konsole an AWS Management Console und öffnen Sie sie unter https://console.aws.amazon.com/wafv2/.

  2. Wählen Sie im AWS Shield Navigationsbereich die Option Geschützte Ressourcen aus. In der Liste der geschützten Ressourcen gibt die Spalte Automatische DDoS-Abwehr auf Anwendungsebene an, ob die automatische Abwehr aktiviert ist und, sofern aktiviert, welche Aktion Shield Advanced für seine Abwehr verwenden soll.

    Sie können auch eine beliebige Ressource auf Anwendungsebene auswählen, um dieselben Informationen auf der Schutzseite für die Ressource zu sehen.

Automatische DDoS-Abwehr auf Anwendungsebene aktivieren und deaktivieren

Das folgende Verfahren zeigt, wie Sie die automatische Antwort für eine geschützte Ressource aktivieren oder deaktivieren.

Um die automatische DDoS-Abwehr auf Anwendungsebene für eine einzelne Ressource zu aktivieren oder zu deaktivieren

  1. Melden Sie sich bei der AWS WAF & Shield-Konsole an AWS Management Console und öffnen Sie sie unter https://console.aws.amazon.com/wafv2/.

  2. Wählen Sie im AWS Shield Navigationsbereich die Option Geschützte Ressourcen aus.

  3. Wählen Sie auf der Registerkarte Schutz die Ressource auf Anwendungsebene aus, für die Sie die automatische Schadensbegrenzung aktivieren möchten. Die Seite mit den Schutzmaßnahmen für die Ressource wird geöffnet.

  4. Wählen Sie auf der Schutzseite der Ressource die Option Bearbeiten aus.

  5. Wählen Sie auf der Seite Layer-7-DDoS-Abwehr für globale Ressourcen konfigurieren — optional für Automatische DDoS-Abwehr auf Anwendungsebene die Option aus, die Sie für automatische Abwehr verwenden möchten. In der Konsole stehen die folgenden Optionen zur Verfügung:

    • Aktuelle Einstellungen beibehalten — Nehmen Sie keine Änderungen an den Einstellungen für die automatische Schadensbegrenzung der geschützten Ressource vor.

    • Aktivieren — Aktiviert die automatische Schadensbegrenzung für die geschützte Ressource. Wenn Sie diese Option wählen, wählen Sie in den Web-ACL-Regeln auch die Regelaktion aus, die von den automatischen Risikominderungen verwendet werden soll. Weitere Informationen zu Einstellungen für Regelaktionen finden Sie unter Verwenden von Regelaktionen in AWS WAF.

      Wenn Ihre geschützte Ressource noch keinen Verlauf des normalen Anwendungsverkehrs hat, aktivieren Sie die automatische Schadensbegrenzung im Count Modus, bis Shield Advanced einen Basiswert festlegen kann. Shield Advanced beginnt mit der Erfassung von Informationen für seine Baseline, wenn Sie Ihrer geschützten Ressource eine Web-ACL zuordnen. Es kann 24 Stunden bis 30 Tage dauern, bis eine gute Ausgangsbasis für normalen Datenverkehr erstellt ist.

    • Deaktivieren — Deaktiviert die automatische Schadensbegrenzung für die geschützte Ressource.

  6. Gehen Sie die restlichen Seiten durch, bis Sie fertig sind, und speichern Sie die Konfiguration.

Auf der Seite Schutzmaßnahmen werden die Einstellungen für die automatische Schadensbegrenzung für die Ressource aktualisiert.

Änderung der Aktion, die für die automatische DDoS-Abwehr auf Anwendungsebene verwendet wird

Sie können die Aktion, die Shield Advanced für seine automatische Antwort auf Anwendungsebene verwendet, an mehreren Stellen in der Konsole ändern:

Wenn Sie über zwei geschützte Ressourcen verfügen, die sich eine Web-ACL teilen, und Sie die Aktion für die eine und Count Block für die andere auf setzen, legt Shield Advanced die Aktion für die ratenbasierte Regel ShieldKnownOffenderIPRateBasedRule der Regelgruppe auf fest. Block

Verwendung AWS CloudFormation mit automatischer DDoS-Abwehr auf Anwendungsebene

Erfahren Sie, wie Sie AWS CloudFormation Ihre Schutzmaßnahmen und Web-ACLs verwalten können. AWS WAF

Automatische DDoS-Abwehr auf Anwendungsebene aktivieren oder deaktivieren

Sie können die automatische DDoS-Abwehr auf Anwendungsebene mithilfe AWS CloudFormation der Ressource aktivieren und deaktivieren. AWS::Shield::Protection Der Effekt ist derselbe wie bei der Aktivierung oder Deaktivierung der Funktion über die Konsole oder eine andere Schnittstelle. Informationen zu der AWS CloudFormation Ressource finden Sie AWS::Shield::Protectionim AWS CloudFormation Benutzerhandbuch.

Verwaltung der verwendeten Web-ACLs mit automatischer Schadensbegrenzung

Shield Advanced verwaltet die automatische Abwehr für Ihre geschützte Ressource mithilfe einer Regelgruppenregel in der AWS WAF Web-ACL der geschützten Ressource. Über die AWS WAF Konsole und die APIs wird die Regel in Ihren Web-ACL-Regeln aufgeführt, deren Name mit ShieldMitigationRuleGroup beginnt. Diese Regel ist Ihrer automatischen DDoS-Abwehr auf Anwendungsebene gewidmet und wird von Shield Advanced und für Sie verwaltet. AWS WAF Weitere Informationen finden Sie unter Die Shield Advanced-Regelgruppe und So verwaltet Shield Advanced die automatische Schadensbegrenzung.

Wenn Sie Ihre Web-ACLs AWS CloudFormation zur Verwaltung Ihrer Web-ACLs verwenden, fügen Sie die Shield Advanced-Regelgruppenregel nicht zu Ihrer Web-ACL-Vorlage hinzu. Wenn Sie eine Web-ACL aktualisieren, die mit Ihren automatischen Schutzmaßnahmen verwendet wird, verwaltet AWS WAF automatisch die Regelgruppenregel in der Web-ACL.

Im Vergleich zu anderen Web-ACLs, die Sie verwalten, werden Sie die folgenden Unterschiede feststellen: AWS CloudFormation

  • AWS CloudFormation meldet keine Abweichung im Stack-Drift-Status zwischen der tatsächlichen Konfiguration der Web-ACL mit der Shield Advanced-Regelgruppenregel und Ihrer Web-ACL-Vorlage ohne die Regel. Die Shield Advanced-Regel wird nicht in der tatsächlichen Liste für die Ressource in den Drift-Details angezeigt.

    Sie können die Shield Advanced-Regelgruppenregel in Web-ACL-Auflistungen sehen AWS WAF, aus denen Sie sie abrufen, z. B. über die AWS WAF Konsole oder AWS WAF APIs.

  • Wenn Sie die Web-ACL-Vorlage in einem Stapel ändern AWS WAF und Shield Advanced automatisch die automatische Abwehrregel von Shield Advanced in der aktualisierten Web-ACL beibehalten. Die von Shield Advanced bereitgestellten automatischen Schutzmaßnahmen zur Schadensbegrenzung werden durch Ihr Update der Web-ACL nicht unterbrochen.

Verwalten Sie die Shield Advanced-Regel nicht in Ihrer AWS CloudFormation Web-ACL-Vorlage. Die Web-ACL-Vorlage sollte die Shield Advanced-Regel nicht auflisten. Folgen Sie den bewährten Methoden für das Web-ACL-Management unterBewährte Methoden für die Verwendung der automatischen Schadensbegrenzung.