本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
使用自動緩解措施的最佳做法
使用自動緩和措施時,請遵守本節中提供的指導。
一般保護管理
請遵循以下準則,以規劃和實施自動緩解保護。
-
您可以透過 Shield Advanced 管理所有自動緩解保護,或者如果您使用 AWS Firewall Manager Firewall Manager 員管理您的 Shield 牌進階自動緩解設定。請勿混合使用 Shield 進階和 Firewall Manager 員來管理這些保護。
-
使用相同的 Web ACL 和保護設定來管理類似的資源,並使用不同的 Web ACL 管理不同的資源。當 Shield Advanced 緩解受保護資源上的 DDoS 攻擊時,它會定義與資源相關聯的 Web ACL 的規則,然後針對與 Web ACL 相關聯的所有資源的流量測試規則。護 Shield 進階版只有在沒有對任何相關資源造成負面影響的情況下才會套用這些規則。如需詳細資訊,請參閱 防 Shield 進階如何管理自動緩解。
-
對於透過 Amazon CloudFront 分發代理所有網際網路流量的應用程式負載平衡器,請僅在分發上啟用自動緩解功能。 CloudFront該 CloudFront 分配將始終具有最多數量的原始流量屬性,Shield Advanced 利用這些屬性來緩解攻擊。
偵測和緩解最佳化
請遵循這些準則,將自動緩和措施提供給受保護資源的保護最佳化。如需應用程式層偵測和緩和措施的概觀,請參閱偵測和緩解。
-
為受保護的資源設定健康狀態檢查,並使用它們在 Shield Advanced 防護中啟用健康狀態偵測。如需準則,請參閱以 Health 狀態檢查為基礎的偵測。
-
在Count模式中啟用自動緩解功能,直到 Shield Advanced 建立正常歷史流量的基準為止。Shield 進階需要 24 小時到 30 天才能建立基準。
建立一般流量模式的基準需要下列條件:
Web ACL 與受保護資源的關聯。您可以 AWS WAF 直接使用來關聯您的 Web ACL,或者當您啟用「防 Shield 進階」應用程式層保護並指定要使用的 Web ACL 時,可以讓「防護進階」建立關聯。
正常流量流向受保護的應用程式。如果您的應用程式未遇到正常流量 (例如在應用程式啟動之前),或長時間缺少生產流量,則無法收集歷史資料。
網路 ACL 管理
請遵循下列準則,以管理您搭配自動緩和措施使用的 Web ACL。
-
如果您需要取代與受保護資源關聯的 Web ACL,請依序進行下列變更:
在 Shield 牌進階中,停用自動緩解功能。
在中 AWS WAF,取消舊網頁 ACL 的關聯,並關聯新 Web ACL。
在 Shield 牌進階中,啟用自動緩解功能。
防 Shield 進階版不會自動將舊版 Web ACL 的自動緩和措施傳輸到新的 ACL。
-
請勿從 Web ACL 中刪除名稱開頭為的任何規則群組規則。
ShieldMitigationRuleGroup如果您確實刪除此規則群組,則會針對與 Web ACL 相關聯的每個資源停用 Shield Advanced 自動緩和措施提供的保護。此外,Shield Advanced 可能需要一些時間才能收到變更通知並更新其設定。在此期間,Shield 進階主控台頁面會提供不正確的資訊。如需規則群組的詳細資訊,請參閱Shield 牌進階規則群組。
-
請勿修改名稱開頭為的規則群組規則名稱
ShieldMitigationRuleGroup。這樣做可能會干擾 Shield 牌進階自動緩解透過 Web ACL 提供的保護。 -
建立規則和規則群組時,請勿使用開頭為的名稱
ShieldMitigationRuleGroup。Shield 進階使用此字串來管理您的自動緩和措施。 -
在管理網頁 ACL 規則時,請勿指派 10,000,000 的優先順序設定。Shield Advanced 在新增時,會將此優先順序設定指派給其自動緩和規則群組規則。
-
將
ShieldMitigationRuleGroup規則保持優先順序,以便在您希望規則與 Web ACL 中的其他規則相關時執行。「Shield 牌進階」會將規則群組規則新增至具有優先順序為 10,000,000 的網頁 ACL,以便在您的其他規則之後執行。如果您使用 AWS WAF 主控台精靈管理 Web ACL,請在將規則加入至 Web ACL 後,依需要調整優先順序設定。 如果您使用 AWS CloudFormation 來管理 Web ACL,則不需要管理
ShieldMitigationRuleGroup規則群組規則。請遵循的指導AWS CloudFormation 搭配自動應用程式層 DDoS 緩解使用。
