設定應用程式層 (第 7 層) DDoS 防護 AWS WAF - AWS WAFAWS Firewall Manager、和 AWS Shield Advanced

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

設定應用程式層 (第 7 層) DDoS 防護 AWS WAF

為了保護應用程式層資源,Shield Advanced 會使用具有速率規則的 AWS WAF Web ACL 作為起點。 AWS WAF 是一種 Web 應用程式防火牆,可讓您監視轉寄至應用程式層資源的 HTTP 和 HTTPS 要求,並可讓您根據要求的特性控制內容的存取。以速率為基礎的規則會根據您的要求彙總準則限制流量,為您的應用程式提供基本的 DDoS 保護。如需詳細資訊,請參閱 如何 AWS WAF 工作速率型規則陳述式

您也可以選擇性地啟用 Shield Advanced 自動應用程式層 DDoS 緩解功能,讓 Shield 來自已知 DDoS 來源的進階速率限制要求,並自動為您提供特定於事件的保護。

重要

如果您透過 AWS Firewall Manager 使用 Shield 進階政策來管理您的 Shield 進階防護,則無法在此管理應用程式層防護。您必須在 Firewall Manager 員防 Shield 進階政策中管理它們。

Shield 高級訂閱和 AWS WAF 成本

您的 Shield 進階訂閱可涵蓋使用標準 AWS WAF 功能來保護您使用 Shield 進階保護的資源所需的費用。Shield Advanced 保護所涵蓋的標準 AWS WAF 費用包括每個 Web ACL 的成本、每個規則的成本,以及每百萬個 Web 請求檢查請求的基本價格,最高可達 1,500 個 WCU,最高可達到預設主體大小。

啟用防 Shield 進階自動應用程式層 DDoS 緩解功能會將規則群組新增至使用 150 個 Web ACL 容量單位 (WCU) 的網路 ACL。這些 WCU 會計入您網路 ACL 中的 WCU 使用量。如需詳細資訊,請參閱Shield 先進的自動應用層 DDoS 緩解Shield 牌進階規則群組AWS WAF 網路 ACL 容量單位 (WCU)

您 AWS WAF 對 Shield 進階版的訂閱並不涵蓋您未使用神 Shield 進階保護的資源使用。它也不包括受保護資源的任何額外非標準 AWS WAF 成本。非標準 AWS WAF 成本的範例包括機器人控制、CAPTCHA規則動作、使用超過 1,500 個 WCU 的 Web ACL,以及檢查超出預設主體大小的要求主體。完整列表在 AWS WAF 定價頁面上提供。

如需完整資訊和定價範例,請參閱 Shield 定價AWS WAF 定價

設定區域的第 7 層 DDoS 保護

Shield 牌進階讓您可以選擇為所選資源所在的每個區域設定第 7 層 DDoS 緩解措施。如果您要在多個地區新增保護,精靈會引導您完成每個區域的下列程序。

  1. [設定第 7 層 DDoS 防護] 頁面會列出尚未與 Web ACL 相關聯的每個資源。對於這些 ACL,請選擇現有的 Web ACL 或建立新的 Web ACL。對於任何已經有關聯 Web ACL 的資源,您可以先取消目前 ACL 的關聯,以變更 Web ACL。 AWS WAF如需詳細資訊,請參閱 建立 Web ACL 與資源的關聯或取消關聯 AWS

    對於尚未具有以速率為基礎的規則的 Web ACL,設定精靈會提示您新增一個。以速率為基礎的規則會在傳送大量要求時限制來自 IP 位址的流量。速率型規則有助於保護您的應用程式免受 Web 要求洪水的影響,並提供有關流量突然峰值的警示,這些警示可能表示潛在的 DDoS 攻擊。選擇新增費率限制規則,然後提供費率限制和規則動作,將以速率為基礎的規則新增至 Web ACL。您可以透過 AWS WAF在 Web ACL 中設定其他保護。

    如需在 Shield 進階保護中使用 Web ACL 和速率型規則的相關資訊,包括以速率為基礎的規則的其他組態選項,請參閱。Shield 進階應用程式層 AWS WAF Web ACLs 和速率型規則

  2. 對於自動應用程式層 DDoS 緩解,如果您想讓 Shield Advanced 自動緩解對應用程式層資源的 DDoS 攻擊,請選擇 [用],然後選取 AWS WAF 您希望 Shield Advanced 在其自訂規則中使用的規則動作。此設定會套用至您在此精靈階段作業中管理之資源的所有 Web ACL。

    借助自動應用層 DDoS 緩解功能,Shield Advanced 在資源的 AWS WAF Web ACL 中維護基於速率的規則,以限制來自已知 DDoS 來源的請求量。此外,Shield Advanced 會將目前的流量模式與歷史流量基準進行比較,以偵測可能表示 DDoS 攻擊的偏差。當 Shield Advanced 偵測到 DDoS 攻擊時,會透過建立、評估和部署自訂 AWS WAF 規則來回應。您可以指定自訂規則是代表您計數還是封鎖攻擊。

    注意

    自動應用程式層 DDoS 防護功能僅適用於使用最新版本的 AWS WAF (v2) 建立的 Web ACL。

    有關 Shield 高級自動應用程序層 DDoS 緩解的更多信息,包括使用此功能的警告和最佳實踐,請參閱。Shield 先進的自動應用層 DDoS 緩解

  3. 選擇下一步。主控台精靈會前進至健全狀況型偵測頁面。