AWS Shield Advanced 功能和選項 - AWS WAFAWS Firewall Manager、和 AWS Shield Advanced

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

AWS Shield Advanced 功能和選項

AWS Shield Advanced 訂閱包括下列功能和選項。這些補充了您已經收到的 DDoS 偵測和緩解功能 AWS。

  • AWS WAF 整合 — Shield Advanced 使用 AWS WAF Web ACL、規則和規則群組作為其應用程式層保護的一部分。如需有關的更多資訊 AWS WAF,請參閱如何 AWS WAF 工作

    注意

    您的 Shield 進階訂閱可涵蓋使用標準 AWS WAF 功能來保護您使用 Shield 進階保護的資源所需的費用。Shield Advanced 保護所涵蓋的標準 AWS WAF 費用包括每個 Web ACL 的成本、每個規則的成本,以及每百萬個 Web 請求檢查請求的基本價格,最高可達 1,500 個 WCU,最高可達到預設的主體大小。

    啟用防 Shield 進階自動應用程式層 DDoS 緩解功能會將規則群組新增至使用 150 個 Web ACL 容量單位 (WCU) 的網路 ACL。這些 WCU 會計入您網路 ACL 中的 WCU 使用量。如需詳細資訊,請參閱Shield 先進的自動應用層 DDoS 緩解Shield 牌進階規則群組AWS WAF 網路 ACL 容量單位 (WCU)

    您 AWS WAF 對 Shield 進階版的訂閱並不涵蓋您未使用神 Shield 進階保護的資源使用。它也不包括受保護資源的任何額外非標準 AWS WAF 成本。非標準 AWS WAF 成本的範例包括機器人控制、CAPTCHA規則動作、使用超過 1,500 個 WCU 的 Web ACL,以及檢查超出預設主體大小的要求主體。完整列表在 AWS WAF 定價頁面上提供。

    如需完整資訊和定價範例,請參閱 Shield 定價AWS WAF 定價

  • 自動應用程式層 DDoS 防護 — 您可以將 Shield Advanced 設定為自動回應,以減輕受保護資源的應用程式層 (第 7 層) 攻擊。透過自動緩解 AWS WAF 功能,Shield Advanced 會對來自已知 DDoS 來源的要求執行 AWS WAF 速率限制,並自動新增和管理自訂保護,以回應偵測到的 DDoS 攻擊。您可以設定自動緩和措施,以計算或封鎖屬於攻擊一部分的 Web 要求。

    如需詳細資訊,請參閱 Shield 先進的自動應用層 DDoS 緩解

  • Health 狀況偵測 — 您可以搭配防 Shield 進階使用 Amazon Route 53 運作狀態檢查,以通知事件偵測和緩解措施。運作狀態檢查會根據您的規格來監控您的應用程式,並在符合規格時回報狀況良好,且不 Health 狀況。搭配 Shield Advanced 使用健康狀態檢查有助於防止誤判,並在受保護的資源不健康時提供更快的偵測和緩解措施。您可以針對任何資源類型使用健全狀況型偵測 (Route 53 託管區域除外)。Shield 進階主動互動僅適用於已啟用健康狀態偵測的資源。

    如需詳細資訊,請參閱 以 Health 狀態檢查為基礎的偵測

  • 保護群組 — 您可以使用保護群組建立受保護資源的邏輯群組,以增強整個群組的偵測和緩和措施。您可以定義保護群組中的成員資格準則,以便自動包含新受保護的資源。受保護的資源可以屬於多個保護群組。

    如需詳細資訊,請參閱 AWS Shield Advanced 保護群組

  • 增強對 DDoS 事件和攻擊的可見性 — Shield Advanced 使您可以訪問高級的實時指標和報告,以便廣泛地了解受保護 AWS 資源的事件和攻擊。您可以透過 Shield 牌進階 API 和主控台,以及透過 Amazon CloudWatch 指標存取此資訊。

    如需詳細資訊,請參閱 DDoS 事件的可見性

  • Shield 進階防護的集中管理方式: AWS Firewall Manager— 您可以使用 Firewall Manager 員將 Shield 進階防護自動套用至您的新帳戶和資源,並將 AWS WAF 規則部署到 Web ACL。對於 Shield 進階客戶,Firewall Manager 員防護進階防護政策不收取額外費用。您也可以使用 Firewall Manager 員搭配 Amazon Simple Notification Service (SNS) 主題或 AWS Security Hub,集中管理您帳戶的 Shield 進階監控活動。

    如需有關使用 Firewall Manager 員管理防護進階防護的詳細資訊,請參閱AWS Firewall ManagerAWS Shield Advanced 政策。如需有關 Firewall Manager 員定價的資訊,請參閱AWS Firewall Manager 定價

  • AWS Shield 牌應變團隊(SRT)— SRT 在保護 AWS亞馬遜及其子公司方面擁有豐富的經驗。身為 AWS Shield Advanced 客戶,您可以在 DDoS 攻擊期間隨時聯絡 SRT 以取得協助,這會影響應用程式的可用性。您也可以使用 SRT 來建立和管理資源的自訂緩和措施。若要使用 SRT 的服務,您也必須訂閱商務 Support 方案企業 Support 方案

    如需詳細資訊,請參閱 Shield 牌回應小組 (SRT) 支援

  • 主動參與 — 如果您與受保護的資源相關聯的 Amazon Route 53 運作狀態檢查在由 Shield Advanced 偵測到的事件期間變得不健康,Shield 牌回應團隊 (SRT) 會直接與您聯絡。當應用程式的可用性可能受到可疑攻擊的影響時,這可讓您更快速地與專家互動。

    如需詳細資訊,請參閱 設定主動參與

  • 成本保護機會 — Shield Advanced 提供一些成本保護,以防止帳 AWS 單中可能因 DDoS 攻擊對受保護的資源而造成的高峰。這可能包括 Shield 進階資料傳出 (DTO) 使用費中峰值的涵蓋範圍。Shield 牌進階以 Shield 牌進階服務積分的形式提供任何費用保護。

    如需更多詳細資訊,請參閱 申請信用 AWS Shield Advanced