防 Shield 進階如何管理自動緩解 - AWS WAF、 AWS Firewall Manager、和 AWS Shield Advanced

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

防 Shield 進階如何管理自動緩解

本節中的主題說明 Shield Advanced 如何處理自動應用程式層 DDoS 緩解的組態變更,以及在啟用自動緩解功能時如何處理 DDoS 攻擊。

啟用自動緩解時會發生什麼情況

當您啟用自動緩解時,Shield 牌進階會執行下列動作:

  • 視需要新增 Shield Advanced 使用的規則群組 — 如果您與資源關聯的 AWS WAF Web ACL 還沒有專用於自動應用程式層 DDoS 緩解的規則群組規則,Shield Advanced 會新增一個規則群組規則。 AWS WAF

    規則群組規則的名稱開頭為ShieldMitigationRuleGroup。規則群組一律包含名為以速率為基礎的規則ShieldKnownOffenderIPRateBasedRule,該規則會限制來自已知為 DDoS 攻擊來源之 IP 位址的要求數量。如需有關「Shield 進階」規則群組及其參考之 Web ACL 規則的其他詳細資訊,請參閱Shield 牌進階規則群組

  • 開始回應針對資源的 DDoS 攻擊 — Shield Advanced 會自動回應受保護資源的 DDoS 攻擊。除了以速率為基礎的規則 (始終存在) 之外,Shield Advanced 還使用其規則群組來部署 DDoS 攻擊緩解的自訂 AWS WAF 規則。Shield Advanced 會根據您的應用程式和應用程式所遭受的攻擊量身打造這些規則,並在部署前對資源的歷史流量進行測試。

Shield 牌進階會在您用於自動緩和措施的任何 Web ACL 中使用單一規則群組規則。如果 Shield Advanced 已經為另一個受保護的資源新增了規則群組,則不會將其他規則群組新增至 Web ACL。

自動應用程式層 DDoS 緩解功能取決於規則群組的存在,以減輕攻擊。如果由於任何原因從 AWS WAF Web ACL 中移除規則群組,則移除會停用與 Web ACL 相關聯的所有資源的自動緩和措施。

Shield 牌進階如何透過自動緩解來回應 DDoS 攻擊

當您在受保護的資源上啟用自動緩和措施時,Shield Advanced 規則群組ShieldKnownOffenderIPRateBasedRule中的速率型規則會自動回應來自已知 DDoS 來源的升高流量。這種速率限制可快速套用,並可作為抵禦攻擊的前線防禦。

當護 Shield 進階偵測到攻擊時,它會執行下列動作:

  1. 嘗試識別攻擊特徵,以隔離攻擊流量與應用程式的正常流量。我們的目標是產生高品質的 DDoS 緩解規則,這些規則放置時僅會影響攻擊流量,而不會影響應用程式的正常流量。

  2. 根據遭受攻擊的資源以及與相同 Web ACL 相關聯的任何其他資源的歷史流量模式來評估已識別的攻擊特徵。Shield Advanced 會在部署任何規則以回應事件之前執行此動作。

    根據評估結果,「Shield 牌進階」會執行下列其中一項作業:

    • 如果 Shield Advanced 判斷攻擊特徵僅隔離了 DDoS 攻擊涉及的流量,則會在 Web ACL 的 Shield 進階緩解 AWS WAF 規則群組中的規則中實作簽章。Shield Advanced 為這些規則提供您為資源自動緩解設定的動作設定-Count 或Block。

    • 否則,護 Shield 進階不會放置緩解措施。

在攻擊期間,Shield Advanced 會傳送相同的通知,並提供與基本 Shield 進階應用程式層保護相同的事件資訊。您可以在 Shield 進階事件主控台中查看有關事件和 DDoS 攻擊的資訊,以及任何針對攻擊的 Shield 進階緩和措施的資訊。如需相關資訊,請參閱DDoS 事件的可見性

如果您已將自動緩和措施設定為使用規Block則動作,並且在 Shield Advanced 部署的緩和規則中遇到Count誤判,則可以將規則動作變更為。如需有關如何執行此操作的資訊,請參閱變更用於自動應用程式層 DDoS 緩解的動作

「Shield 牌進階」如何管理規則動作設定

您可以將自動緩和措施的規則動作設為Block或Count。

當您變更受保護資源的自動緩和規則動作設定時,Shield Advanced 會更新資源的所有規則設定。它會更新 Shield Advanced 規則群組中目前針對資源設定的任何規則,並在建立新規則時使用新的動作設定。

對於使用相同 Web ACL 的資源,如果您指定不同的動作,「Shield 牌進階」會使用規則群組以速率為基礎的規則的Block動作設定。ShieldKnownOffenderIPRateBasedRuleShield Advanced 代表特定受保護的資源在規則群組中建立和管理其他規則,並使用您為資源指定的動作設定。Web ACL 中「Shield 進階」規則群組中的所有規則都會套用至所有關聯資源的 Web 流量。

變更動作設定可能需要幾秒鐘的時間來傳播。在此期間,您可能會在使用規則群組的某些地方看到舊設定,而在其他位置會看到新設定。

您可以在主控台的事件頁面中,以及透過應用程式層組態頁面變更自動緩和措施組態的規則動作設定。如需有關事件頁面的資訊,請參閱回應 DDoS 事件。如需有關組態頁面的資訊,請參閱設定應用程式層 DDoS 保護

當攻擊消退時,Shield 牌進階如何管理緩和措施

當 Shield Advanced 判定不再需要針對特定攻擊部署的緩和規則時,會將其從 Shield Advanced 緩和規則群組中移除。

刪除緩解規則不一定與攻擊結束一致。「Shield 牌進階」會監控在受保護資源上偵測到的攻擊模式。它可能會主動防禦使用特定簽名的攻擊再次發生,方法是將其部署的規則保持在適當的位置以防止該攻擊的初始發生。必要時,護 Shield 進階版會增加規則的時間範圍。如此一來,Shield Advanced 可以減輕具有特定簽章的重複攻擊,避免它們影響您受保護的資源。

Shield Advanced 絕不會移除以速率為基礎的規則ShieldKnownOffenderIPRateBasedRule,這會限制來自已知為 DDoS 攻擊來源之 IP 位址的要求量。

停用自動緩解時會發生什麼情況

當您停用資源的自動緩和措施時,Shield Advanced 會執行下列動作:

  • 停止自動回應 DDoS 攻擊 — Shield Advanced 停止其資源的自動回應活動。

  • 從 Shield Advanced 規則群組中移除不需要的規則 — 如果 Shield Advanced 代表受保護的資源維護其受管規則群組中的任何規則,則會移除這些規則。

  • 移除 Shield 進階規則群組 (如果不再使用) — 如果您與資源相關聯的 Web ACL 未與任何其他已啟用自動緩和措施的資源相關聯,Shield Advanced 會從 Web ACL 中移除其規則群組規則。