다음을 사용하여 애플리케이션 계층 (계층 7) DDoS 보호를 구성합니다. AWS WAF - AWS WAF, AWS Firewall Manager, 및 AWS Shield Advanced

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

다음을 사용하여 애플리케이션 계층 (계층 7) DDoS 보호를 구성합니다. AWS WAF

애플리케이션 계층 리소스를 보호하기 위해 Shield Advanced는 속도 기반 규칙이 있는 AWS WAF 웹 ACL을 출발점으로 사용합니다. AWS WAF 애플리케이션 계층 리소스에 전달되는 HTTP 및 HTTPS 요청을 모니터링하고 요청의 특성에 따라 콘텐츠에 대한 액세스를 제어할 수 있게 해주는 웹 애플리케이션 방화벽입니다. 속도 기반 규칙은 요청 집계 기준에 따라 트래픽 양을 제한하여 애플리케이션에 기본적인 DDoS 보호를 제공합니다. 자세한 내용은 AWS WAF 작동 방식비율 기반 규칙 문 섹션을 참조하세요.

또한 Shield Advanced의 자동 애플리케이션 계층 DDoS 완화를 활성화하여 Shield Advanced에서 알려진 DDoS 소스로부터의 제한 요청을 평가하고 자동으로 인시던트별 보호를 제공하도록 할 수도 있습니다.

중요

Shield Advanced 정책을 AWS Firewall Manager 사용하여 Shield Advanced 보호를 관리하는 경우 여기에서 애플리케이션 계층 보호를 관리할 수 없습니다. Firewall Manager Shield Advanced 정책에서 관리해야 합니다.

쉴드 어드밴스드 구독 및 비용 AWS WAF

Shield Advanced를 구독하면 Shield Advanced로 보호하는 리소스의 표준 AWS WAF 기능을 사용하는 데 드는 비용이 포함됩니다. Shield Advanced 보호가 적용되는 표준 AWS WAF 요금은 웹 ACL당 비용, 규칙당 비용, 웹 요청 검사 요청 1백만 건당 기본 가격 (최대 1,500WCU 및 최대 기본 본체 크기) 입니다.

Shield Advanced 자동 애플리케이션 레이어 DDoS 완화를 활성화하면 150개의 웹 ACL 용량 단위 (WCU) 를 사용하는 규칙 그룹이 웹 ACL에 추가됩니다. 이러한 WCU는 웹 ACL의 WCU 사용량에 포함됩니다. 자세한 내용은 Shield Advanced 자동 애플리케이션 계층 DDoS 완화, Shield Advanced 규칙 그룹, AWS WAF 웹 ACL 용량 단위 (WCU) 단원을 참조하세요.

Shield Advanced를 구독해도 Shield Advanced를 사용하여 보호하지 않는 리소스에 AWS WAF 대한 사용은 포함되지 않습니다. 또한 보호 대상 리소스에 대한 추가 비표준 AWS WAF 비용도 포함되지 않습니다. 비표준 AWS WAF 비용의 예로는 Bot Control, CAPTCHA 규칙 작업, 1,500개 이상의 WCU를 사용하는 웹 ACL, 기본 본문 크기를 초과하여 요청 본문을 검사하는 비용 등이 있습니다. 전체 목록은 요금 페이지에 나와 있습니다. AWS WAF

전체 정보 및 요금 예는 Shield 요금AWS WAF 요금을 참조하세요.

지역에 대한 계층 7 DDoS 보호를 구성하려면

Shield Advanced는 선택한 리소스가 위치한 각 지역에 대해 계층 7 DDoS 완화를 구성할 수 있는 옵션을 제공합니다. 여러 지역에 보호 기능을 추가하는 경우, 마법사가 각 지역에 대해 다음 절차를 안내합니다.

  1. 계층 7 DDoS 보호 구성 페이지에는 아직 웹 ACL과 연계되지 않은 각 리소스가 열거됩니다. 이들 각각에 대해 기존 웹 ACL을 선택하거나 새 웹 ACL을 생성하십시오. 이미 연결된 웹 ACL이 있는 리소스의 경우 먼저 현재 ACL의 연결을 해제하여 웹 ACL을 변경할 수 있습니다. AWS WAF자세한 정보는 웹 ACL을 리소스와 연결 또는 연결 해제 AWS을 참조하세요.

    아직 요금 기반 규칙이 없는 웹 ACL의 경우, 구성 마법사가 속도 기반 규칙을 추가하라는 메시지를 표시합니다. 속도 기반 규칙은 많은 양의 요청을 보내는 IP 주소의 트래픽을 제한합니다. 속도 기반 규칙은 웹 요청 플러드로부터 애플리케이션을 보호하는 데 도움이 되며, 잠재적인 DDoS 공격으로 이어질 수 있는 갑작스러운 트래픽 급증에 대한 알림을 제공할 수 있습니다. 속도 제한 규칙 추가를 선택한 다음 속도 제한 및 규칙 조치를 제공하여 속도 기반 규칙을 웹 ACL에 추가합니다. 를 통해 웹 ACL에서 추가 보호를 구성할 수 있습니다. AWS WAF

    속도 기반 규칙의 추가 구성 옵션을 포함하여 Shield Advanced 보호에서 웹 ACL 및 속도 기반 규칙을 사용하는 방법에 대한 자세한 설명은 Shield Advanced 애플리케이션 레이어 AWS WAF 웹 ACL 및 요금 기반 규칙을 참조하세요.

  2. 자동 애플리케이션 계층 DDoS 완화의 경우 Shield Advanced가 애플리케이션 계층 리소스에 대한 DDoS 공격을 자동으로 완화하도록 하려면 활성화를 선택한 다음 Shield Advanced가 사용자 지정 규칙에서 사용할 AWS WAF 규칙 작업을 선택합니다. 이 설정은 이 마법사 세션에서 관리하는 리소스의 모든 웹 ACL에 적용됩니다.

    Shield Advanced는 자동 애플리케이션 레이어 DDoS 완화 기능을 통해 알려진 DDoS 소스의 요청 양을 제한하는 속도 기반 규칙을 리소스의 AWS WAF 웹 ACL에 유지합니다. 또한, Shield Advanced는 현재 트래픽 패턴을 과거 트래픽 베이스라인과 비교하여 DDoS 공격을 표시할 수 있는 편차를 감지합니다. Shield Advanced는 DDoS 공격을 탐지하면 이에 대응하기 위한 사용자 지정 AWS WAF 규칙을 생성, 평가 및 배포하여 대응합니다. 맞춤 규칙이 사용자 대신 공격을 계수 또는 차단할지를 지정합니다.

    참고

    자동 애플리케이션 레이어 DDoS 완화는 최신 버전 (v2) 을 사용하여 만든 웹 ACL에서만 작동합니다. AWS WAF

    이 기능 사용에 대한 주의 사항 및 모범 사례를 포함하여 Shield Advanced 자동 애플리케이션 계층 DDoS 완화에 대한 자세한 내용은 을 참조하십시오. Shield Advanced 자동 애플리케이션 계층 DDoS 완화

  3. 다음을 선택합니다. 콘솔 마법사는 상태 기반 감지 페이지로 이동합니다.