Shield 高級應用層AWS WAF網頁 ACL 和以速率為基礎的規則 - AWS WAF、AWS Firewall Manager 與 AWS Shield Advanced

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

Shield 高級應用層AWS WAF網頁 ACL 和以速率為基礎的規則

若要使用 Shield 進階來保護應用程式層資源,請先建立關聯AWS WAF網絡 ACL 與資源。如果發生 DDoS 攻擊,您可以透過在關聯的 Web ACL 中新增和管理規則來套用緩和措施。您可以在 Shield 牌響應團隊(SRT)的幫助下直接執行此操作,或通過自動應用程序層 DDoS 緩解。

此外,如果您關聯的 Web ACL 沒有定義以速率為基礎的規則,「Shield 牌進階」會提示您至少定義一個規則。速率型規則會在來源 IP 超過您定義的閾值時,自動封鎖來自 IP 的流量。速率型規則有助於保護您的應用程式免受 Web 要求洪水的影響,並允許您收到可能表示潛在 DDoS 攻擊的流量突然峰值的警示。

當您使用以速率為基礎的規則時,每隔 30 秒,AWS WAF評估前五分鐘的流量。AWS WAF封鎖來自任何來源 IP 位址超過臨界值的要求,直到要求率降至可接受的層級為止。將以速率為基礎的規則速率閾值設定為大於您在任何五分鐘時間範圍內從任何一個來源 IP 預期的一般流量速率的值。

您可能想要在 Web ACL 中使用多個以速率為基礎的規則。例如,對於具有高臨界值的所有流量,您可以擁有一個以速率為基礎的規則,以及一或多個設定為符合 Web 應用程式的特定部分且具有較低閾值的其他規則。例如,您可以在 URI 上相符/login.html具有較低的閾值,以減輕對登錄頁面的濫用行為。

如需其他資訊和指引,請參閱安全性部落格文章最重要的三個AWS WAF以率為基礎的規則

Shield 進階主控台可讓您新增以速率為基礎的規則,並使用基本設定進行設定。您可以透過以下方式管理以費率為基礎的規則,以定義其他組態選項AWS WAF。例如,您可以使用轉送的 IP 地址而不是標準 IP 地址,並且可以添加一個範圍向下語句來過濾掉評估中的某些請求。如需所有組態選項的說明,請參閱速率型規則陳述式。如需使用的資訊AWS WAF若要管理您的 Web 要求監控和管理規則,請參閱建立 Web ACL