Shield Advanced 如何管理自動緩解 - AWS WAFAWS Firewall Manager、 和 AWS Shield Advanced

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

Shield Advanced 如何管理自動緩解

本節中的主題描述 Shield Advanced 如何處理自動應用程式層DDoS緩解的組態變更,以及啟用自動緩解時如何處理DDoS攻擊。

Shield Advanced 如何回應具有自動緩解功能的DDoS攻擊

當您在受保護的資源上啟用自動緩解時,Shield Advanced 規則群組ShieldKnownOffenderIPRateBasedRule中的速率型規則會自動回應來自已知DDoS來源的流量增加。此速率限制會快速套用,並做為對抗攻擊的前線防禦。

當 Shield Advanced 偵測到攻擊時,它會執行下列動作:

  1. 嘗試識別攻擊簽章,以隔離攻擊流量與應用程式的一般流量。目標是產生高品質的DDoS緩解規則,這些規則在放置時只會影響攻擊流量,而不會影響應用程式的正常流量。

  2. 針對正在攻擊的資源以及與相同 Web 相關聯的任何其他資源,評估已識別的攻擊簽章與歷史流量模式ACL。Shield Advanced 會在部署任何規則以回應事件之前執行此操作。

    根據評估結果,Shield Advanced 會執行下列其中一項操作:

    • 如果 Shield Advanced 判斷攻擊簽章只會隔離涉及DDoS攻擊的流量,則會在 Web 中的 Shield Advanced 緩解規則群組中的 AWS WAF 規則中實作簽章ACL。Shield Advanced 會為這些規則提供您已為資源的自動緩解設定的動作設定 - 或 Count 或 Block.

    • 否則,Shield Advanced 不會放置緩解措施。

在整個攻擊過程中,Shield Advanced 會傳送相同的通知,並提供與基本 Shield Advanced 應用程式層保護相同的事件資訊。您可以在 Shield Advanced 事件主控台中查看事件和DDoS攻擊的相關資訊,以及攻擊的任何 Shield Advanced 緩解措施的相關資訊。如需相關資訊,請參閱 使用 Shield Advanced 對DDoS事件的可見性

如果您已將自動緩解設定為使用 Block 規則動作,而且您從 Shield Advanced 部署的緩解規則中遇到誤報,您可以將規則動作變更為 Count。 如需如何執行此操作的詳細資訊,請參閱 變更用於自動應用程式層DDoS緩解的動作

Shield Advanced 如何管理規則動作設定

您可以將自動緩解的規則動作設定為 Block 或 Count.

當您變更受保護資源的自動緩解規則動作設定時,Shield Advanced 會更新資源的所有規則設定。它會更新 Shield Advanced 規則群組中資源目前採用的任何規則,並在建立新規則時使用新的動作設定。

對於使用相同 Web 的資源ACL,如果您指定不同的動作,Shield Advanced 會使用 Block 規則群組基於速率的規則 的動作設定ShieldKnownOffenderIPRateBasedRule。Shield Advanced 會代表特定受保護資源建立和管理規則群組中的其他規則,並使用您為資源指定的動作設定。Web 中 Shield Advanced 規則群組中的所有規則ACL都會套用至所有相關聯資源的 Web 流量。

變更動作設定可能需要幾秒鐘的時間才能傳播。在此期間,您可能會在規則群組正在使用的某些位置看到舊設定,在其他位置則看到新設定。

您可以在主控台的事件頁面,以及透過應用程式層組態頁面,變更自動緩解組態的規則動作設定。如需有關事件頁面的資訊,請參閱 回應 中的DDoS事件 AWS。如需有關組態頁面的資訊,請參閱 設定應用程式層DDoS保護

當攻擊消失時,Shield Advanced 如何管理緩解措施

當 Shield Advanced 確定不再需要為特定攻擊部署的緩解規則時,它會將其從 Shield Advanced 緩解規則群組中移除。

移除緩解規則不一定與攻擊結束時一致。Shield Advanced 會監控其在您的受保護資源上偵測到的攻擊模式。它可能會主動防禦具有特定簽章的攻擊,方法是保留其已部署的規則,以防止該攻擊的初始發生。視需要,Shield Advanced 會增加其保留規則的時間窗口。如此一來,Shield Advanced 可能會在影響受保護資源之前,使用特定簽章來緩解重複的攻擊。

Shield Advanced 永遠不會移除速率型規則 ShieldKnownOffenderIPRateBasedRule,這會限制來自已知為DDoS攻擊來源之 IP 地址的請求量。

當您停用自動緩解時會發生什麼情況

當您停用資源的自動緩解時,Shield Advanced 會執行下列動作:

  • 停止自動回應DDoS攻擊 – Shield Advanced 會停止其資源的自動回應活動。

  • 從 Shield Advanced 規則群組中移除不需要的規則 – 如果 Shield Advanced 代表受保護的資源在其受管規則群組中維護任何規則,則會將其移除。

  • 如果不再使用 Shield Advanced 規則群組,請將其移除 – 如果您與資源ACL相關聯的 Web 未與已啟用自動緩解的任何其他資源建立關聯,Shield Advanced 會從 Web 移除其規則群組規則ACL。