偵測和緩解

本節說明 Shield Advanced 影響偵測和緩解應用程式層事件的因素。

運作狀態檢查

運作狀態檢查可準確報告應用程式的整體 Health 狀態，為 Shield Advanced 提供應用程式所遇到之流量狀況的相關資訊。當您的應用程式回報不健康狀態時，Shield Advanced 需要較少的資訊指向潛在攻擊，而且如果您的應用程式回報狀況良好，則需要更多攻擊證據。

請務必設定健康狀態檢查，以便準確地報告應用程式健康狀態。如需詳細資訊和指引，請參閱以 Health 狀態檢查為基礎的偵測。

流量基準

流量基準會為您的應用程式提供 Shield 進階資訊，以瞭解正常流量的特性。Shield Advanced 會使用這些基準來辨識您的應用程式何時未接收正常流量。因此它可以通知您，並在設定後開始設計和測試緩解選項以應對潛在攻擊。如需 Shield Advanced 如何使用流量基準偵測潛在事件的詳細資訊，請參閱概觀一節應用程式層威脅的偵測邏輯。

「Shield 牌進階」會根據與受保護資源相關聯的 Web ACL 所提供的資訊建立其基準線。Web ACL 必須與資源建立關聯至少 24 小時，最多 30 天，護 Shield 進階才能可靠地判斷應用程式的基準。所需的時間會從您透過防護進階或透過防護 ACL 建立關聯時開始 AWS WAF。

如需使用 Web ACL 搭配防護進階應用程式層保護的詳細資訊，請參閱Shield 進階應用程式層 AWS WAF Web ACL 和速率型規則。

速率為基礎的規則

以速率為基礎的規則有助於緩解攻擊。他們還可以掩蓋攻擊，方法是在攻擊成為足夠大的問題以顯示在正常流量基準或健康狀態檢查狀態報告中之前緩解攻擊。

當您使用 Shield Advanced 保護應用程式資源時，建議您在 Web ACL 中使用以速率為基礎的規則。儘管他們的緩和措施可能會掩蓋潛在的攻擊，但它們仍然是寶貴的第一道防線，可協助確保您的應用程式可供合法客戶使用。您以速率為基礎的規則偵測到的流量和速率限制會顯示在您的 AWS WAF 指標中。

除了您自己以速率為基礎的規則之外，如果您啟用自動應用程式層 DDoS 緩解功能，Shield Advanced 會在您的 Web ACL 中新增一個規則群組，以緩解攻擊。在此規則群組中，Shield Advanced 始終具有以速率為基礎的規則，以限制來自已知為 DDoS 攻擊來源之 IP 位址的請求數量。您無法檢視 Shield 進階規則緩解的流量量度。

如需以比率為基礎的規則的詳細資訊，請參閱速率型規則陳述式。如需 Shield Advanced 用於自動應用程式層 DDoS 緩解的速率型規則的相關資訊，請參閱Shield 牌進階規則群組。

如需有關「Shield 進階 AWS WAF 」和指標的詳細資訊，請參閱使用 Amazon 監控 CloudWatch。