設定應用程式層 (Layer 7) DDoS 保護 - AWS WAF、AWS Firewall Manager 與 AWS Shield Advanced

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

設定應用程式層 (Layer 7) DDoS 保護

針對每個應用程式層資源,Shield 進階防護會要求您將 Web ACL 與速率型規則建立關聯。您也可以選擇啟用防 Shield 進階自動應用程式層 DDoS 緩解功能。

重要

如果您通過管理 Shield 牌高級保護AWS Firewall Manager使用 Shield 進階政策,您無法在此處管理應用程式層保護。您必須在 Firewall Manager Shield Advanced 政策中管理。

設定區域的第 7 層 DDoS 保護

Shield 牌進階讓您可以選擇為所選資源所在的每個區域設定第 7 層 DDoS 緩解措施。請為每個程序執行以下程序。

注意

資源一次只能與一個 Web ACL 相關聯。如果您要變更資源的 Web ACL,請移除目前的 Web ACL 關聯,然後關聯新的 Web ACL。如需詳細資訊,請參閱 將 Web ACL 與取消關聯或取消關聯AWS資源

  1. 在 中設定第 7 層 DDoS 防護頁面,針對與 Web ACL 無關聯的每個資源,選擇現有的 Web ACL 或建立新的 Web ACL 或建立新的 Web ACL。

    對於任何沒有以速率為基礎的規則的 Web ACL,Shield Advanced 中的設定精靈會提示您建立新的 ACL。選擇以速度為基礎的規則至 Web ACL新增速率限制然後提供速率限制和規則動作。

    如需在 Shield Advanced 保護中使用 Web ACL 和速率型的規則的詳細資訊,請參閱。Shield Advanced AdplicationAWS WAFWeb ACL 和速率型的規則

  2. 適用於自動化應用程式層 DDoS 防護,如果您想讓 Shield Advanced 自動緩解針對您的應用程式層資源的 DDoS 攻擊,請選擇啟用,然後選擇AWS WAF您希望「Shield 牌進階」在其自訂規則中使用的規則動作。此設定會套用至您正在管理之資源的所有 Web ACL。

    Shield Advanced 透過自動應用程式層 DDoS 緩解功能,將目前的流量模式與歷史流量基準進行比較,以偵測可能表示 DDoS 攻擊的偏差。如果為資源啟用了自動應用層 DDoS 緩解,則當 Shield Advanced 檢測到 DDoS 攻擊時,它會通過創建,評估和部署自定義進行響應AWS WAF規則來響應攻擊。您可以指定這些自訂規則是代表您計數還是封鎖攻擊。如需有關 Shield 進階自動應用程式層 DDoS 緩解的詳細資訊,請參閱Shield 高級自動應用層 DDoS 緩解

    注意

    自動應用程式層 DDoS 緩解功能僅適用於使用最新版本的建立的 Web ACLAWS WAF(第 2)。您無法使用自動緩和AWS WAF傳統的 Web ACL。

  3. 選擇 Next (下一步)。主控台精靈會前進至健全狀況型偵測頁面。