步驟 3:設定第 7 層 DDoS 緩和措施 - AWS WAF、AWS Firewall Manager 與 AWS Shield Advanced

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

步驟 3:設定第 7 層 DDoS 緩和措施

我們建議新增 Web ACL 做為以速率為基礎的規則做為AWS Shield Advanced保護。這些規則可在突發高流量時提醒您,此表示可能有潛在的 DDoS 事件。以速率為基礎的規則會計算每 5 分鐘從任何個別地址抵達的請求。如果請求數量超過您定義的限制,該規則會觸發動作如:傳送通知給您。如需以速率為基礎的規則之詳細資訊,請參閱AWS WAF 的運作方式

注意

如果您使用AWS Firewall Manager建立 Firewall Manager Shield 進階原則,請勿執行此步驟。Firewall Manager 不支援速率型的規則。

為區域設定第 7 層 DDoS 緩和措施

「Shield 進階」可讓您選擇為所選資源所在的每個區域設定第 7 層 DDoS 緩和措施。請為每一個執行以下程序。

  1. 在 中設定第 7 層 DDoS 緩和措施頁面上,針對不是 Web ACL 關聯的每個資源,選擇現有的 Web ACL 或建立新的 Web ACL。

    若要建立 Web ACL,請執行下列步驟:

    1. 選擇 建立 Web ACL

    2. 輸入名稱。建立 Web ACL 後無法修改名稱。

    3. 選擇 Create (建立)。

    注意

    如果資源已與 Web ACL 關聯,您無法變更為不同的 Web ACL。如果您想要變更 Web ACL,您必須先從資源移除關聯的 Web ACL。如需更多詳細資訊,請參閱 將 Web ACL 與建立關聯或取消關聯AWS資源

  2. 對於每個未定義速率型規則的關聯 Web ACL,您可以透過選擇新增速率限制規則,接著執行以下步驟:

    1. 輸入名稱。

    2. 輸入速率限制。這是在 5 分鐘內允許來自任何單一 IP 地址的最多請求數量。當來自 IP 位址的要求低於限制時,動作就會中止。

    3. 設定規則動作,以計算或封鎖來自 IP 地址的請求,當請求計數超過限制。應用程式和規則動作的移除可能會在 IP 位址要求速率變更後一兩分鐘生效。

    4. 選擇 Add rule (新增規則)。

  3. 選擇 Next (下一步)

繼續而不新增 Web ACL 或速率型規則

  • 選擇 Next (下一步)

    重要

    如 Shield 您在AWS Firewall ManagerShield 進階政策,您不能新增 Web ACL 或速率型的規則。對於所有其他資源,我們建議您至少為每個資源連接一個 Web ACL,即使該 Web ACL 不包含任何規則。

現在可以前往 步驟 4:檢閱並設定您的設定