Shield 進階應用程式層 AWS WAF Web ACL 和速率型規則

若要使用「防護進階」來保 Shield 應用程式層資源，請先將 AWS WAF Web ACL 與資源建立關聯。 AWS WAF 這是一種 Web 應用程式防火牆，可讓您監視轉寄至應用程式層資源的 HTTP 和 HTTPS 要求，並可讓您根據要求的特性控制內容的存取。您可以設定 Web ACL，以根據要求的來源位置、查詢字串和 Cookie 的內容，以及來自單一 IP 位址的要求速率等因素來監視和管理要求。您的 Shield 進階防護至少要求您將 Web ACL 與速率型規則建立關聯，以限制每個 IP 位址的要求速率。

如果關聯的 Web ACL 沒有定義以速率為基礎的規則，「Shield 牌進階」會提示您至少定義一個規則。速率型規則會在來源 IP 超過您定義的閾值時，自動封鎖來自 IP 的流量。它們有助於保護您的應用程式免受 Web 請求洪水的影響，並提供有關流量突然峰值的警示，這些警示可能表明潛在的 DDoS 攻擊。

注意

以速率為基礎的規則對規則監視的流量尖峰作出非常快速的回應。因此，以速率為基礎的規則不僅可以防止攻擊，還可以防止 Shield Advanced 偵測偵測潛在攻擊。這種折扣有利於防止攻擊攻擊攻擊者的完全可見性。我們建議您使用以速率為基礎的規則作為抵禦攻擊的第一道防線。

設置好 Web ACL 後，如果發生 DDoS 攻擊，您可以透過在 Web ACL 中新增和管理規則來套用緩和措施。您可以在 Shield 牌響應團隊（SRT）的幫助下直接執行此操作，也可以通過自動應用程序層 DDoS 緩解自動執行此操作。

重要

如果您也使用自動應用程式層 DDoS 緩解措施，請參閱管理 Web ACL 的最佳做法，網址為使用自動緩解措施的最佳做法。

預設速率型規則行為

當您將以速率為基礎的規則與其預設組態搭配使用時，會 AWS WAF 定期評估前 5 分鐘時間範圍的流量。 AWS WAF 封鎖來自任何超過規則臨界值之 IP 位址的要求，直到要求率降至可接受的層級為止。當您透過 Shield Advanced 設定以速率為基礎的規則時，請將其速率閾值設定為大於您在任何五分鐘時間範圍內從任何一個來源 IP 預期的一般流量速率的值。

您可能想要在 Web ACL 中使用多個以速率為基礎的規則。例如，對於所有具有高臨界值的流量，您可以擁有一個以速率為基礎的規則，以及一或多個其他規則，這些規則設定為符合 Web 應用程式的特定部分且具有較低閾值。例如，您可能會比對具有較低閾值/login.html的 URI，以減輕對登入頁面的濫用行為。

您可以設定以比率為基礎的規則，使其使用不同的評估時間範圍，並依據許多請求元件 (例如標頭值、標籤及查詢引數) 聚總請求。如需詳細資訊，請參閱 速率型規則陳述式。

如需其他資訊和指引，請參閱安全性部落格文章三個最重要的 AWS WAF 速率規則。

透過擴充組態選項 AWS WAF

Shield 進階主控台可讓您新增以速率為基礎的規則，並使用基本的預設設定進行設定。您可以透過 AWS WAF管理以費率為基礎的規則，以定義其他組態選項。例如，您可以將規則設定為根據轉寄的 IP 位址、查詢字串和標籤等金鑰彙總要求。您也可以在規則中新增範圍陳述式，以篩選出來自評估和速率限制的某些要求。如需詳細資訊，請參閱 速率型規則陳述式。如需使用 AWS WAF 來管理 Web 要求監視和管理規則的相關資訊，請參閱建立 Web ACL。