Shield 牌進階規則群組 - AWS WAF、AWS Firewall Manager 與 AWS Shield Advanced

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

Shield 牌進階規則群組

Shield Advanced 會使用它為您擁有並管理的規則群組中的規則來管理自動緩解活動。Shield Advanced 會參照規則群組,其中包含您與受保護資源相關聯的 Web ACL 中的規則。

網頁 ACL 中的規則群組規則

Web ACL 中的「Shield 進階規則群組規則」具有下列屬性:

  • 名稱ShieldMitigationRuleGroup_account-id_web-acl-id_unique-identifier

  • 網頁 ACL 容量單位 (WCU) — 150。這些 WCU 會計入您網路 ACL 中的 WCU 使用量。

「Shield 牌進階」會在您的網頁 ACL 中建立此規則,其優先順序設定為 10,000,000,以便在 Web ACL 中的其他規則和規則群組之後執行。 AWS WAF從上的數值優先順序最低的設定執行 Web ACL 中的規則。在管理 Web ACL 期間,此優先順序設定可能會變更。

自動緩和功能不會消耗您帳戶中的任何其他AWS WAF資源,除了 Web ACL 中規則群組所使用的 WCU 之外。例如,Shield 進階規則群組不會計為您帳戶的其中一個規則群組。如需中帳戶限制的相關資訊AWS WAF,請參閱AWS WAF 配額

規則群組中的規則

在參照的 Shield 進階規則群組中,Shield Advanced 會維護以速率為基礎的規則ShieldKnownOffenderIPRateBasedRule,該規則會限制來自已知為 DDoS 攻擊來源之 IP 位址的要求數量。此規則是抵禦任何攻擊的第一道防線,因為它始終存在於規則群組中,並且不依賴於流量模式的分析來遏制攻擊。此規則的動作會設定為您為自動緩和措施選擇的動作,就像規則群組中的其他規則一樣。如需以比率為基礎的規則的資訊,請參閱速率型規則陳述式

除了以速率為基礎的規則之外,規則群組還包含 Shield Advanced 目前用來緩解 DDoS 攻擊的任何規則。Shield 牌進階版視需要新增、修改和移除這些規則。如需相關資訊,請參閱 防 Shield 進階如何管理自動緩解