使用自動緩解的注意事項 - AWS WAF、AWS Firewall Manager 與 AWS Shield Advanced

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

使用自動緩解的注意事項

下列清單說明 Shield 進階自動應用程式層 DDoS 緩解的警告,並說明您可能想要採取的步驟來回應。

  • 自動應用程式層 DDoS 防護功能僅適用於使用最新版本 AWS WAF (v2) 建立的 Web ACL。

  • 為了偵測和自動緩解應用程式層攻擊,Shield Advanced 會將歷史流量運用到受保護的應用程式資源。瞭解應用程式的正常流量模式,可讓 Shield Advanced 辨識並隔離正常流量的攻擊流量。如果受保護的資源尚未具有正常應用程式流量的歷史記錄 (例如在應用程式啟動之前),或者長時間缺少生產流量,建議您在Count模式中啟用自動緩解功能,直到已為資源建立正常應用程式流量的歷史記錄為止。

  • Shield 進階需要 24 小時到 30 天,才能建立應用程式流量的基準。

  • 對於保護多個資源的 Web ACL,自動應用程式層 DDoS 緩解只會部署不會對任何資源造成負面影響的自訂緩和措施。

  • DDoS 攻擊開始到 Shield Advanced 放置自訂自動緩解規則之間的時間會因每個事件而異。部分 DDoS 攻擊可能會在部署自訂規則之前結束。其他攻擊可能在緩解措施已經到位時發生,因此這些規則可能會從事件開始緩解。

  • 對於透過內容交付網路 (CDN) (例如 Amazon CloudFront) 接收任何流量的應用程式負載平衡器,這些應用程式負載平衡器資源的 Shield Advanced 應用程式層自動緩解功能將會降低。Shield Advanced 會使用用戶端流量屬性來識別和隔離攻擊流量與應用程式的正常流量,而 CDN 可能無法保留或轉寄原始用戶端流量屬性。如果您使用 CloudFront,建議您在 CloudFront 發行版上啟用自動緩和措施。

  • 自動應用程式層 DDoS 防護功能不會與保護群組互動。您可以為保護群組中的資源啟用自動緩和措施,但 Shield Advanced 不會根據保護群組發現的項目自動套用攻擊緩和措施。Shield 牌進階對個別資源套用自動攻擊緩和措施。