Il gruppo di regole Shield Advanced - AWS WAFAWS Firewall Manager, e AWS Shield Advanced

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Il gruppo di regole Shield Advanced

Shield Advanced gestisce le attività di mitigazione automatica utilizzando le regole di un gruppo di regole di cui è proprietario e gestisce per conto dell'utente. Shield Advanced fa riferimento al gruppo di regole con una regola nell'ACL Web associata alla risorsa protetta.

La regola del gruppo di regole nell'ACL web

La regola del gruppo di regole Shield Advanced nell'ACL Web ha le seguenti proprietà:

  • Nome: ShieldMitigationRuleGroup_account-id_web-acl-id_unique-identifier

  • Unità di capacità Web ACL (WCU): 150. Queste WCU influiscono sull'utilizzo della WCU nell'ACL web.

Shield Advanced crea questa regola nell'ACL Web con un'impostazione di priorità di 10.000.000, in modo che venga eseguita dopo le altre regole e gruppi di regole nell'ACL Web. AWS WAF esegue le regole in un ACL web dall'impostazione di priorità numerica più bassa in poi. Durante la gestione dell'ACL Web, questa impostazione di priorità potrebbe cambiare.

La funzionalità di mitigazione automatica non consuma AWS WAF risorse aggiuntive nel tuo account, a parte le WCU utilizzate dal gruppo di regole nell'ACL web. Ad esempio, il gruppo di regole Shield Advanced non viene conteggiato come uno dei gruppi di regole del tuo account. Per informazioni sui limiti degli account in AWS WAF, consultaAWS WAF quote.

Regole nel gruppo di regole

All'interno del gruppo di regole Shield Advanced di riferimento, Shield Advanced mantiene una regola basata sulla frequenzaShieldKnownOffenderIPRateBasedRule, che limita il volume di richieste provenienti da indirizzi IP noti per essere fonti di attacchi DDoS. Questa regola funge da prima linea di difesa contro qualsiasi attacco, perché è sempre presente nel gruppo di regole e non si basa sull'analisi dei modelli di traffico per contenere gli attacchi. L'azione di questa regola è impostata sull'azione scelta per le mitigazioni automatiche, proprio come le altre regole del gruppo di regole. Per informazioni sulle regole basate sulle tariffe, consulta. Istruzione regola basata sulla frequenza

Nota

La regola basata sulla frequenza ShieldKnownOffenderIPRateBasedRule funziona indipendentemente dal rilevamento degli eventi Shield Advanced. Sebbene la mitigazione automatica sia abilitata, questa regola limita gli indirizzi IP noti per essere fonti di attacchi DDoS. Per questi indirizzi IP, la limitazione della velocità della regola può prevenire gli attacchi e anche impedire che gli attacchi compaiano nelle informazioni di rilevamento di Shield Advanced. Questo compromesso privilegia la prevenzione rispetto alla completa visibilità dei modelli di attacco.

Oltre alla regola permanente basata sulla tariffa descritta sopra, il gruppo di regole contiene tutte le regole attualmente utilizzate da Shield Advanced per mitigare gli attacchi DDoS. Shield Advanced aggiunge, modifica e rimuove queste regole secondo necessità. Per informazioni, consulta Come Shield Advanced gestisce la mitigazione automatica.

Metriche

Il gruppo di regole genera AWS WAF metriche, ma poiché questo gruppo di regole è di proprietà di Shield Advanced, queste metriche non sono disponibili per la visualizzazione. Per ulteriori informazioni, consulta AWS WAF metriche e dimensioni.