Shield 高級自動應用層 DDoS 緩解 - AWS WAF、AWS Firewall Manager 與 AWS Shield Advanced

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

Shield 高級自動應用層 DDoS 緩解

您可以將 Shield Advanced 配置為自動響應,以便通過計算或阻止屬於攻擊一部分的 Web 請求來緩解應用層(第 7 層)針對受保護的應用層資源的攻擊。此選項是您通過 Shield Advanced 添加的應用層保護的一個補充,使用AWS WAFWeb ACL 和速率型的規則。如需主控台步驟的詳細資訊,請參設定應用程式層 DDoS 保護

Shield Advanced 將當前的流量模式與歷史流量基線進行比較,以檢測可能指示 DDoS 攻擊的偏差。當您為資源啟用自動應用層 DDoS 緩解時,Shield Advanced 會通過創建、評估和部署自定義AWS WAF規則。

Shield 高級自動應用層 DDoS 緩解注意事項

下列列表明 Shield Advanced 自動應用層 DDoS 緩解的注意事項,並説明您可能想要採取的響應步驟。

  • 自動應用程序層 DDoS 緩解僅適用於使用最新版本的AWS WAF(v2). 您無法將自動緩解與AWS WAF經典 Web ACL。

  • 為了檢測和自動緩解應用層攻擊,Shield Advanced 利用到受保護資源的歷史流量。通過瞭解應用程序的正常流量模式,Shield Advanced 能夠將攻擊流量與應用程序的正常流量隔離開來。如果您的受保護資源還沒有正常應用程序流量的歷史記錄(例如,在應用程序啟動之前),或者長時間缺少生產流量,我們建議在COUNT模式,直到為資源建立了正常應用程序流量的歷史記錄。

  • 應用程序層 DDoS 自動緩解僅在對歷史流量測試 DDoS 攻擊後放置規則,以確認這些攻擊是否緩解攻擊流量,並且不會影響應用程序的正常流量。

  • DDoS 攻擊開始與 Shield Advanced 放置自動緩解規則之間的時間因每個事件而異。部署緩解規則之前,某些 DDoS 攻擊可能會結束。當緩解措施已經到位時,可能會發生其他攻擊,因此可能會從事件開始時緩解。

  • 適用於通過內容交付網路 (CDN)(例如亞馬遜)接收任何流量的應用程序負載均衡器 CloudFront,則對於這些應用負載均衡器資源的 Shield Advanced 的應用層自動緩解功能將會降低。Shield Advanced 使用客户端流量屬性識別和隔離攻擊流量與應用程序的正常流量,CDN 可能無法保留或轉發原始客户端流量屬性。如果您使用 CloudFront,我們建議在 CloudFront 分佈。

  • 自動應用程序層 DDoS 緩解不會與保護組交互。您可以為保護組中的資源啟用自動緩解,但 Shield Advanced 不會根據保護組發現自動應用攻擊緩解措施。Shield Advanced 針對各個資源應用自動攻擊緩解措施。