Shield Advanced Application Layer AWS WAF Web ACL dan aturan berbasis tarif

Untuk melindungi sumber daya lapisan aplikasi dengan Shield Advanced, Anda mulai dengan mengaitkan ACL AWS WAF web dengan sumber daya. AWS WAF adalah firewall aplikasi web yang memungkinkan Anda memantau permintaan HTTP dan HTTPS yang diteruskan ke sumber daya lapisan aplikasi Anda, dan memungkinkan Anda mengontrol akses ke konten Anda berdasarkan karakteristik permintaan. Anda dapat mengonfigurasi ACL web untuk memantau dan mengelola permintaan berdasarkan faktor-faktor seperti di mana permintaan berasal, isi string kueri dan cookie, dan tingkat permintaan yang berasal dari satu alamat IP. Minimal, perlindungan Shield Advanced Anda mengharuskan Anda untuk mengaitkan ACL web dengan aturan berbasis tarif, yang membatasi tingkat permintaan untuk setiap alamat IP.

Jika ACL web terkait tidak memiliki aturan berbasis kecepatan yang ditentukan, Shield Advanced meminta Anda untuk menentukan setidaknya satu. Aturan berbasis tarif secara otomatis memblokir lalu lintas dari IP sumber ketika melebihi ambang batas yang Anda tentukan. Mereka membantu melindungi aplikasi Anda dari banjir permintaan web dan dapat memberikan peringatan tentang lonjakan lalu lintas yang tiba-tiba yang mungkin mengindikasikan potensi serangan DDoS.

catatan

Aturan berbasis tarif merespons dengan sangat cepat lonjakan lalu lintas yang dipantau oleh aturan tersebut. Karena itu, aturan berbasis kecepatan dapat mencegah tidak hanya serangan, tetapi juga deteksi serangan potensial oleh deteksi Shield Advanced. Perdagangan ini mendukung pencegahan daripada visibilitas lengkap ke pattenr serangan. Sebaiknya gunakan aturan berbasis kecepatan sebagai garis pertahanan pertama Anda terhadap serangan.

Dengan ACL web Anda di tempat, jika serangan DDoS terjadi, Anda menerapkan mitigasi dengan menambahkan dan mengelola aturan di ACL web. Anda dapat melakukan ini secara langsung, dengan bantuan dari Shield Response Team (SRT), atau secara otomatis melalui mitigasi DDoS lapisan aplikasi otomatis.

penting

Jika Anda juga menggunakan mitigasi DDoS lapisan aplikasi otomatis, lihat praktik terbaik untuk mengelola ACL web Anda di. Praktik terbaik untuk menggunakan mitigasi otomatis

Perilaku aturan berbasis tarif default

Saat Anda menggunakan aturan berbasis tarif dengan konfigurasi defaultnya, evaluasi lalu lintas AWS WAF secara berkala untuk jendela waktu 5 menit sebelumnya. AWS WAF memblokir permintaan dari alamat IP apa pun yang melebihi ambang batas aturan hingga tingkat permintaan turun ke tingkat yang dapat diterima. Saat Anda mengonfigurasi aturan berbasis tarif melalui Shield Advanced, konfigurasikan ambang batas tarifnya ke nilai yang lebih besar dari tingkat lalu lintas normal yang Anda harapkan dari satu IP sumber dalam jangka waktu lima menit.

Anda mungkin ingin menggunakan lebih dari satu aturan berbasis tarif di ACL web. Misalnya, Anda dapat memiliki satu aturan berbasis tarif untuk semua lalu lintas yang memiliki ambang batas tinggi ditambah satu atau lebih aturan tambahan yang dikonfigurasi agar sesuai dengan bagian tertentu dari aplikasi web Anda dan yang memiliki ambang batas yang lebih rendah. Misalnya, Anda mungkin mencocokkan URI /login.html dengan ambang batas yang lebih rendah, untuk mengurangi penyalahgunaan terhadap halaman login.

Anda dapat mengonfigurasi aturan berbasis laju untuk menggunakan jendela waktu evaluasi yang berbeda dan untuk menggabungkan permintaan dengan sejumlah komponen permintaan, seperti nilai header, label, dan argumen kueri. Untuk informasi selengkapnya, lihat Pernyataan aturan berbasis tarif.

Untuk informasi dan panduan tambahan, lihat posting blog keamanan Tiga aturan AWS WAF berbasis tarif yang paling penting.

Opsi konfigurasi yang diperluas melalui AWS WAF

Konsol Shield Advanced memungkinkan Anda menambahkan aturan berbasis tarif dan mengonfigurasinya dengan pengaturan dasar dan default. Anda dapat menentukan opsi konfigurasi tambahan dengan mengelola aturan berbasis tarif. AWS WAF Misalnya, Anda dapat mengonfigurasi aturan untuk mengumpulkan permintaan berdasarkan kunci seperti alamat IP yang diteruskan, string kueri, dan label. Anda juga dapat menambahkan pernyataan cakupan ke bawah aturan untuk menyaring beberapa permintaan dari evaluasi dan pembatasan tarif. Untuk informasi selengkapnya, lihat Pernyataan aturan berbasis tarif. Untuk informasi tentang penggunaan AWS WAF untuk mengelola pemantauan permintaan web dan aturan manajemen, lihatMembuat web ACL.