Shield 高级应用层 AWS WAF web ACLs 和基于速率的规则

要使用 Shield Advanced 保护应用层资源，首先要将 AWS WAF 网站ACL与资源相关联。 AWS WAF 是一种 Web 应用程序防火墙，允许您监控转发到应用层资源的HTTP和HTTPS请求，并允许您根据请求的特征控制对内容的访问权限。您可以将 Web 配置ACL为根据请求的来源、查询字符串和 Cookie 的内容以及来自单个 IP 地址的请求速率等因素来监控和管理请求。您的 Shield Advanced 保护至少要求您将网站ACL与基于速率的规则相关联，该规则限制了每个 IP 地址的请求速率。

如果关联的网站ACL没有定义基于速率的规则，Shield Advanced 会提示你至少定义一个规则。当流量超过您定义的阈值IPs时，基于速率的规则会自动阻止来自来源的流量。它们有助于保护您的应用程序免受 Web 请求泛滥的影响，并且可以提供有关可能表明潜在DDoS攻击的流量突然激增的警报。

注意

基于速率的规则可以非常快速地响应该规则所监控的流量峰值。因此，基于速率的规则不仅可以防止攻击，还可以防止通过Shield Advanced检测检测到潜在的攻击。这种权衡有利于预防，而不是完全了解攻击模式。我们建议使用基于速率的规则作为抵御攻击的第一道防线。

有了网络后，如果发生DDoS攻击，您可以通过ACL在网络中添加和管理规则来采取缓解措施。ACL您可以在 Shield Response Team (SRT) 的协助下直接执行此操作，也可以通过自动应用层DDoS缓解来自动执行此操作。

重要

如果您还使用自动应用层DDoS缓解措施，请参阅管理您的 Web 的最佳实践，网址ACL为使用自动缓解的最佳实践。

基于速率的默认规则行为

当您使用默认配置的基于速率的规则时， AWS WAF 会定期评估前 5 分钟时间段内的流量。 AWS WAF 阻止来自超过规则阈值的任何 IP 地址的请求，直到请求速率降至可接受的水平。通过 Shield Advanced 配置基于速率的规则时，请将其速率阈值配置为一个大于您在任何五分钟时间窗口内预期来自任何一个源 IP 的正常流量速率的值。

您可能想在网络ACL中使用多个基于费率的规则。例如，您可以为所有具有高阈值的流量设置一个基于速率的规则，外加一个或多个其他规则，这些规则配置为与您的 Web 应用程序的选定部分相匹配且阈值较低。例如，您可以将URI/login.html与较低的阈值进行匹配，以减少对登录页面的滥用行为。

您可以将基于速率的规则配置为使用不同的评估时间窗口，并按多个请求组件（例如标头值、标签和查询参数）聚合请求。有关更多信息，请参阅 基于速率的规则语句。

有关更多信息和指导，请参阅安全博客文章《三个最重要的 AWS WAF 基于费率的规则》。

通过以下方式扩展了配置选项 AWS WAF

Shield Advanced 控制台允许您添加基于速率的规则，并使用基本的默认设置对其进行配置。您可以通过管理基于费率的规则来定义其他配置选项。 AWS WAF例如，您可以将规则配置为根据转发的 IP 地址、查询字符串和标签等密钥聚合请求。您还可以在规则中添加范围缩小语句，从评估和速率限制中筛选出一些请求。有关更多信息，请参阅 基于速率的规则语句。有关使用 AWS WAF 管理 Web 请求监控和管理规则的信息，请参阅创建 Web ACL。