Le groupe de règles Shield Advanced - AWS WAF, AWS Firewall Manager, et AWS Shield Advanced

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Le groupe de règles Shield Advanced

Shield Advanced gère les activités d'atténuation automatique à l'aide des règles d'un groupe de règles qu'il possède et gère pour vous. Shield Advanced fait référence au groupe de règles par une règle de l'ACL Web que vous avez associée à votre ressource protégée.

La règle du groupe de règles dans votre ACL Web

La règle de groupe de règles Shield Advanced de votre ACL Web possède les propriétés suivantes :

  • NomShieldMitigationRuleGroup_account-id_web-acl-id_unique-identifier

  • Unités de capacité Web ACL (WCU) — 150. Ces WCU sont pris en compte dans l'utilisation des WCU dans votre ACL Web.

Shield Advanced crée cette règle dans votre ACL Web avec un paramètre de priorité de 10 000 000, afin qu'elle s'exécute après vos autres règles et groupes de règles dans l'ACL Web. AWS WAF exécute les règles dans une ACL Web à partir du paramètre de priorité numérique le plus bas. Au cours de votre gestion de l'ACL Web, ce paramètre de priorité peut changer.

La fonctionnalité d'atténuation automatique ne consomme aucune AWS WAF ressource supplémentaire sur votre compte, à l'exception des WCU utilisées par le groupe de règles dans votre ACL Web. Par exemple, le groupe de règles Shield Advanced n'est pas considéré comme l'un des groupes de règles de votre compte. Pour plus d'informations sur les limites de compte dans AWS WAF, voirAWS WAF quotas.

Règles du groupe de règles

Au sein du groupe de règles Shield Advanced référencé, Shield Advanced applique une règle basée sur le débitShieldKnownOffenderIPRateBasedRule, qui limite le volume de demandes provenant d'adresses IP connues pour être à l'origine d'attaques DDoS. Cette règle constitue la première ligne de défense contre toute attaque, car elle est toujours présente dans le groupe de règles et ne repose pas sur l'analyse des modèles de trafic pour contenir les attaques. L'action de cette règle est définie en fonction de l'action que vous avez choisie pour vos atténuations automatiques, tout comme les autres règles du groupe de règles. Pour plus d'informations sur les règles basées sur les taux, consultezInstruction de règle basée sur un taux.

Note

La règle basée sur le taux ShieldKnownOffenderIPRateBasedRule fonctionne indépendamment de la détection d'événements Shield Advanced. Bien que l'atténuation automatique soit activée, cette règle limite le débit des adresses IP connues pour être à l'origine d'attaques DDoS. Pour ces adresses IP, la limitation du débit prévue par la règle permet de prévenir les attaques et d'empêcher les attaques d'apparaître dans les informations de détection du Shield Advanced. Ce compromis privilégie la prévention plutôt que la visibilité complète des modèles d'attaque.

Outre la règle permanente basée sur le taux décrite ci-dessus, le groupe de règles contient toutes les règles que Shield Advanced utilise actuellement pour atténuer les attaques DDoS. Shield Advanced ajoute, modifie et supprime ces règles selon les besoins. Pour plus d’informations, consultez Comment Shield Advanced gère l'atténuation automatique.

Métriques

Le groupe de règles génère AWS WAF des métriques, mais comme ce groupe de règles appartient à Shield Advanced, ces métriques ne peuvent pas être consultées. Pour plus d'informations, voir AWS WAF métriques et dimensions.