AWS Shield Advanced Web 應用程式的緩解邏輯

AWS Shield Advanced 用 AWS WAF 於緩解 Web 應用程序層攻擊。 AWS WAF 隨附於護 Shield 進階版中，無需額外費用。

標準應用層保護

當您使用 Shield Advanced 保護 Amazon CloudFront 分發或應用程式負載平衡器時，您可以使用 Shield Advanced 將 AWS WAF Web ACL 與受保護的資源建立關聯 (如果您尚未建立關聯的資源)。如果您尚未設定 Web ACL，則可以使用 Shield 進階主控台精靈建立一個 ACL，並在其中新增以速率為基礎的規則。以速率為基礎的規則會限制每個 IP 位址每五分鐘時段的要求數目，提供針對 Web 應用程式層要求洪水的基本保護。您可以配置速率，最低至 100。如需詳細資訊，請參閱 Shield 進階應用程式層 AWS WAF Web ACL 和速率型規則。

您也可以使用該 AWS WAF 服務來管理 Web ACL。透過 AWS WAF，您可以展開 Web ACL 組態以執行諸如檢查特定 Web 要求元件的字串相符項目或模式、新增自訂要求和回應處理，以及比對要求來源的地理位置。如需 AWS WAF 規則的詳細資訊，請參閱AWS WAF 規則。

自動緩解應用程式層

若要增強保護，請啟用 Shield 進階自動應用程式層緩解功能 使用此選項，Shield Advanced 會針對來自已知 DDoS 來源的要求維護 AWS WAF 速率限制規則，並針對偵測到的 DDoS 攻擊提供自訂緩和措施。

當 Shield Advanced 偵測到受保護資源的攻擊時，它會嘗試識別攻擊特徵，將攻擊流量與應用程式的正常流量隔離。Shield Advanced 會根據受到攻擊的資源以及與相同 Web ACL 相關聯的任何其他資源的歷史流量模式來評估已識別的攻擊特徵。

如果 Shield Advanced 判斷攻擊特徵僅隔離了 DDoS 攻擊涉及的流量，則會在關聯的 Web ACL 內的 AWS WAF 規則中實作簽章。您可以指示 Shield Advanced 放置只計算符合的流量或封鎖的緩和措施，而且您可以隨時變更設定。當「Shield 牌進階」判斷不再需要其緩和規則時，會將它們從 Web ACL 中移除。如需應用程式層事件緩和措施的詳細資訊，請參閱Shield 先進的自動應用層 DDoS 緩解。

如需 Shield 進階應用程式層緩和措施的詳細資訊，請參閱AWS Shield Advanced 應用程式層 (第 7 層) 保護。