使用 Shield 牌回應小組 (SRT) 設定自訂緩和措施 - AWS WAF、AWS Firewall Manager 與 AWS Shield Advanced

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

使用 Shield 牌回應小組 (SRT) 設定自訂緩和措施

適用於您的彈性 IP (EIP) 和您的AWS Global Accelerator標準加速器,您可以與 Shield 牌回應小組 (SRT) 合作,設定自訂緩和措施。如果您知道放置緩和措施時應強制執行的特定邏輯,這很有用。例如,您可能希望只允許來自特定國家/地區的流量、強制執行特定速率限制、設定選擇性驗證、不允許片段,或只允許符合封包裝載中特定模式的流量。

常見的自訂緩和措施的範例如下:

  • 模式匹配— 如果您操作的服務與用戶端應用程式互動,您可以選擇比對這些應用程式特有的已知模式。例如,您可能需要使用者安裝您散發的特定軟體的遊戲或通訊服務。您可以在應用程序發送到服務的每個數據包中包含一個「幻數」。您最多可以匹配 128 個字節(單獨或連續)的非碎片 TCP 或 UDP 數據包有效負載和標頭。相符項目可以用十六進位標記法表示為自封包裝載開始的特定偏移量,或是在已知值之後的動態偏移量來表示。例如,緩和措施可以查找字節0x01然後期待0x12345678作為接下來的四個字節。

  • DNS 的特定— 如果您使用全球加速器或 Amazon 彈性運算雲端 (Amazon EC2) 之類的服務操作自己的授權 DNS 服務,則可以請求自訂緩解措施來驗證封包,以確保封包是有效的 DNS 查詢,並套用可疑評分來評估特定屬性DNS 流量。

若要詢問如何使用 SRT 來建置自訂緩和措施,請在下方建立支援案例AWS Shield。進一步了解建立AWS Support案例,請參閱入門AWS Support