AWS Shield Advanced Web 应用程序的缓解逻辑

AWS Shield Advanced uses AWS WAF 以缓解 Web 应用程序层攻击。 AWS WAF 包含在 Shield Advanced 中，无需额外付费。

标准应用程序层保护

当你使用 Shield Advanced 保护亚马逊 CloudFront 分配或应用程序负载均衡器时，你可以使用 Shield Advanced 来关联 AWS WAF 如果尚未ACL关联受保护的资源，则使用 web。如果您尚未配置网页ACL，则可以使用 Shield Advanced 控制台向导创建网络并向其添加基于速率的规则。基于速率的规则限制了每个 IP 地址每五分钟时间窗口的请求数，从而提供了防止 Web 应用程序层请求泛洪的基本保护。您可以配置速率，起始速率低至 10。有关更多信息，请参阅 Shield 高级应用层 AWS WAF web ACLs 和基于速率的规则。

你也可以使用 AWS WAF 管理网络的服务ACL。通过 AWS WAF，您可以扩展 Web ACL 配置以执行诸如检查特定的 Web 请求组件是否存在字符串匹配或模式、添加自定义请求和响应处理以及与请求源的地理位置进行匹配等操作。有关 AWS WAF 规则，请参阅使用 AWS WAF 规则。

自动应用程序层缓解

要增强保护，请启用 Shield Advanced 自动应用程序层缓解。使用此选项，Shield Advanced 会保持 AWS WAF 针对来自已知DDoS来源的请求的速率限制规则，它为检测到DDoS的攻击提供自定义缓解措施。

当 Shield Advanced 检测到针对受保护资源的攻击时，它会尝试识别攻击特征，将攻击流量与流向应用程序的正常流量隔离开来。Shield Advanced 会根据受到攻击的资源以及与同一网络ACL关联的任何其他资源的历史流量模式来评估已识别的攻击特征。

如果 Shield Advanced 确定攻击特征码仅隔离DDoS攻击中涉及的流量，则它会在中实现签名 AWS WAF 关联网络中的规则ACL。您可以指示 Shield Advanced 设置缓解措施，这些缓解措施只计算与之匹配的流量，或者阻止流量，您可以随时更改设置。当 Shield Advanced 确定不再需要其缓解规则时，它会将其从网络上删除ACL。有关应用程序层事件缓解的更多信息，请参阅 Shield Advanced 应用程序层 DDoS 自动缓解。

有关 Shield Advanced 应用程序层缓解的更多信息，请参阅 AWS Shield Advanced 应用层（第 7 层）保护。