啟用自動應用程式層DDoS緩解 - AWS WAFAWS Firewall Manager、 和 AWS Shield Advanced
當您啟用自動緩解時

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

啟用自動應用程式層DDoS緩解

此頁面說明如何設定 Shield Advanced 以自動回應應用程式層攻擊。

您可以啟用 Shield Advanced 自動緩解功能,作為資源應用程式層DDoS保護的一部分。如需透過主控台執行此操作的相關資訊,請參閱 設定應用程式層DDoS保護

自動緩解功能需要您執行下列動作:

  • 將 Web ACL與 資源建立關聯 – 這是任何 Shield Advanced 應用程式層保護的必要項目。您可以ACL針對多個資源使用相同的 Web。我們建議僅對具有類似流量的資源執行此操作。如需有關 Web 的資訊ACLs,包括搭配多個資源使用 Web 的需求,請參閱 方法 AWS WAF 運作方式

  • 啟用和設定 Shield Advanced 自動應用程式層DDoS緩解 – 當您啟用此功能時,您可以指定是否要 Shield Advanced 自動封鎖或計數其判定為DDoS攻擊一部分的 Web 請求。Shield Advanced 會將規則群組新增至關聯的 Web,ACL並使用它動態管理其對資源DDoS攻擊的回應。如需規則動作選項的相關資訊,請參閱 使用規則動作於 AWS WAF

  • (選用,但建議) 將速率型規則新增至 Web ACL – 預設情況下,速率型規則透過防止任何個別 IP 地址在短時間內傳送太多請求,為您的資源提供基本的DDoS攻擊防護。如需速率型規則的相關資訊,包括自訂請求彙總選項和範例,請參閱 使用速率型規則陳述式 AWS WAF

當您啟用自動緩解時會發生什麼情況

當您啟用自動緩解時,Shield Advanced 會執行下列動作:

  • 視需要新增 Shield Advanced 使用的規則群組 – 如果您與資源ACL相關聯的 AWS WAF Web 尚未擁有專用於自動應用程式層DDoS緩解的 AWS WAF 規則群組規則,Shield Advanced 會新增一個規則群組規則。

    規則群組規則的名稱開頭為 ShieldMitigationRuleGroup。規則群組一律包含名為 的速率型規則ShieldKnownOffenderIPRateBasedRule,這會限制來自已知為DDoS攻擊來源之 IP 地址的請求量。如需有關 Shield Advanced 規則群組及其參考 Web ACL規則的其他詳細資訊,請參閱 使用 Shield Advanced 規則群組保護應用程式層

  • 開始回應針對資源的DDoS攻擊 – Shield Advanced 會自動回應受保護資源的DDoS攻擊。除了永遠存在的速率型規則之外,Shield Advanced 也會使用其規則群組來部署自訂 AWS WAF 規則來緩解DDoS攻擊。Shield Advanced 會根據您的應用程式和應用程式遇到的攻擊量身訂做這些規則,並在部署之前根據資源的歷史流量進行測試。

Shield Advanced ACL 會在您用於自動緩解的任何 Web 中使用單一規則群組規則。如果 Shield Advanced 已新增另一個受保護資源的規則群組,則不會將另一個規則群組新增至 Web ACL。

自動應用程式層DDoS緩解取決於規則群組是否存在,以緩解攻擊。如果規則群組ACL因任何原因從 AWS WAF Web 中移除,移除會停用與 Web 相關聯的所有資源的自動緩解ACL。