단계 3: 계층 7 DDoS 완화 구성 - AWS WAF, AWS Firewall Manager, 및 AWS Shield Advanced

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

단계 3: 계층 7 DDoS 완화 구성

비율 기반 규칙이 있는 웹 ACLs를 AWS Shield Advanced 보호의 일부로 추가하는 것이 좋습니다. 이러한 규칙은 갑자기 급증하여 잠재적인 DDoS 이벤트를 나타낼 수 있는 트래픽에 대해 알릴 수 있습니다. 비율 기반 규칙은 5분 내에 개별 주소에서 도착하는 요청을 계산합니다. 요청 수가 정의한 제한을 초과하는 경우, 규칙은 알림 전송과 같은 작업을 트리거할 수 있습니다. 비율 기반 규칙에 대한 자세한 내용은 AWS WAF 작동 방식 단원을 참조하십시오.

참고

를 사용하여 AWS Firewall Manager Firewall Manager 정책을 생성한 경우 이 단계를 수행하지 마십시오. Shield Advanced는 비율 기반 규칙을 지원하지 않습니다.Firewall Manager

리전에 대해 계층 7 DDoS 완화를 구성하려면

Shield Advanced는 선택한 리소스가 있는 각 리전에 대해 계층 7 DDoS 완화를 구성할 수 있는 옵션을 제공합니다. 각각에 대해 다음 절차를 수행합니다.

  1. 웹 ACL과 연결되지 않은 각 리소스에 대해 계층 7 DDoS 완화 구성 페이지에서 기존 웹 ACL을 선택하거나 새 웹 ACL을 생성합니다.

    웹 ACL을 생성하려면 아래 단계를 따르십시오.

    1. Create web ACL(웹 ACL 생성)을 선택합니다.

    2. 이름을 입력합니다. 웹 ACL을 생성한 후에는 이름을 변경할 수 없습니다.

    3. Create를 선택합니다.

    참고

    리소스가 이미 웹 ACL과 연결되어 있으면 다른 웹 ACL로 변경할 수 없습니다. 웹 ACL을 변경하려면 먼저 연결된 웹 ACL을 리소스에서 제거해야 합니다. 자세한 내용은 웹 ACL을 AWS 리소스와 연결 또는 연결 해제 단원을 참조하십시오.

  2. 비율 기반 규칙이 정의되어 있지 않은 각각의 연결된 웹 ACL에 대해 Add rate limit rule(비율 제한 규칙 추가)을 선택한 후 다음 단계를 수행하여 규칙을 추가할 수 있습니다.

    1. 이름을 입력합니다.

    2. 비율 제한을 입력합니다. 비율 기반 규칙 작업이 IP 주소에 적용되기 전에 단일 IP 주소로부터 5분간 허용되는 최대 요청 수입니다. IP 주소의 요청이 제한 값 아래로 떨어지면 작업이 중단됩니다.

    3. 요청 수가 제한을 초과하는 동안 IP 주소의 요청을 계산하거나 차단하도록 규칙 작업을 설정합니다. IP 주소 요청 비율이 변경된 후 1~2분이 지나면 규칙 작업의 애플리케이션 및 제거가 적용될 수 있습니다.

    4. [Add another rule]을 선택합니다.

  3. [Next]를 선택합니다.

웹 ACLs 또는 비율 기반 규칙을 추가하지 않고 계속하려면

  • [Next]를 선택합니다.

    중요

    AWS Firewall Manager Shield Advanced 정책 내에서 Shield Advanced를 사용하는 경우 웹 ACL 또는 비율 기반 규칙을 추가할 수 없습니다. 다른 모든 리소스의 경우 해당 웹 ACL에 규칙이 포함되어 있지 않더라도 웹 ACL을 각 리소스에 연결하는 것이 좋습니다.

이제 단계 4: 설정 검토 및 구성으로 이동할 수 있습니다.