管理自動應用程式層 DDoS 防護 - AWS WAF、 AWS Firewall Manager、和 AWS Shield Advanced
檢視資源的自動緩和措施組態啟用和停用自動緩解變更自動緩解的動作 AWS CloudFormation 搭配自動緩解使用

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

管理自動應用程式層 DDoS 防護

使用本節中的指導來管理您的自動應用程式層 DDoS 緩解設定。如需自動緩和措施如何運作的相關資訊,請參閱上述主題。

注意

請遵循中所述的最佳作法使用自動緩解措施的最佳做法

檢視資源的自動應用程式層 DDoS 緩解設定

您可以在受保護的資源頁面和個別保護頁面中檢視資源的自動應用程式層 DDoS 緩解設定。

檢視自動應用程式層 DDoS 安全防護設定

  1. 登入 AWS Management Console 並開啟 Shield 牌主控台 AWS WAF (S),網址為 https://console.aws.amazon.com/wafv2/

  2. 在 AWS Shield 導覽窗格中,選擇 [受保護的資源]。在受保護的資源清單中,[自動應用程式層 DDoS 緩解] 欄會指出是否啟用自動緩和措施,以及 Shield Advanced 要在其緩和措施中使用的動作 (若已啟用)。

    您也可以選取任何應用程式層資源,以查看資源的保護頁面上列出的相同資訊。

啟用和停用自動應用程式層 DDoS 緩解

下列程序顯示如何啟用或停用受保護資源的自動回應。

啟用或停用單一資源的自動應用程式層 DDoS 緩解

  1. 登入 AWS Management Console 並開啟 Shield 牌主控台 AWS WAF (S),網址為 https://console.aws.amazon.com/wafv2/

  2. 在 AWS Shield 導覽窗格中,選擇 [受保護的資源]。

  3. 在 [保護] 索引標籤中,選取您要啟用自動緩和措施的應用程式層資源。資源的保護頁面隨即開啟。

  4. 在資源的保護頁面中,選擇 [編輯]。

  5. 在頁面中為全域資源設定第 7 層 DDoS 緩解-用,對於自動應用程式層 DDoS 緩解,請選擇您要用於自動緩解的選項。控制台中的選項如下:

    • 保留目前設定 — 不變更受保護資源的自動緩和措施設定。

    • 啟用 — 為受保護的資源啟用自動緩和措施。當您選擇此選項時,也請選取您希望自動緩和措施在 Web ACL 規則中使用的規則動作。如需有關規則動作設定的資訊,請參閱規則動作

      如果受保護的資源還沒有正常應用程式流量的歷史記錄,請在Count模式中啟用自動緩解功能,直到 Shield Advanced 可以建立基準為止。當您將 Web ACL 與受保護的資源建立關聯時,Shield Advanced 會開始收集其基準的資訊,而且可能需要 24 小時到 30 天才能建立正常流量的良好基準線。

    • 停用 — 停用受保護資源的自動緩和措施。

  6. 逐步瀏覽其餘頁面,直到完成並儲存設定。

在 [保護] 頁面中,會更新資源的自動緩和措施設定。

變更用於自動應用程式層 DDoS 緩解的動作

您可以在主控台的多個位置變更 Shield Advanced 用於應用程式層自動回應的動作:

如果您有兩個共用 Web ACL 的受保護資源,並且將其中一個 ACL 設定Count為另一個 ACL,則 Shield Advanced 會將規則群組以速率為基礎的規則的處理行動設定ShieldKnownOffenderIPRateBasedRule為Block。Block

AWS CloudFormation 搭配自動應用程式層 DDoS 緩解使用

瞭解如何使用 AWS CloudFormation 來管理您的防護和 AWS WAF 網路 ACL。

啟用或停用自動應用程式層 DDoS 緩解

您可以通 AWS CloudFormation過使用AWS::Shield::Protection資源啟用和禁用自動應用程序層 DDoS 緩解。效果與透過主控台或任何其他介面啟用或停用功能時相同。若要取得有關資 AWS CloudFormation 源的資訊,請參閱AWS CloudFormation 使用指南AWS::Shield::Protection中的〈〉。

管理搭配自動緩解功能使用的 Web ACL

Shield Advanced 會使用受保護資源的 AWS WAF Web ACL 中的規則群組規則來管理受保護資源的自動緩和措施。透過 AWS WAF 主控台和 API,您會看到 Web ACL 規則中列出的規則,名稱開頭為ShieldMitigationRuleGroup。此規則專用於您的自動應用程式層 DDoS 緩解,並由 Shield 進階和 AWS WAF. 如需詳細資訊,請參閱 Shield 牌進階規則群組防 Shield 進階如何管理自動緩解

如果您使用 AWS CloudFormation 來管理 Web ACL,請勿將「Shield 牌進階」規則群組規則新增至您的 Web ACL 範本。當您更新與自動緩和保護搭配使用的 Web ACL 時, AWS WAF 會自動管理 Web ACL 中的規則群組規則。

與您管理的其他 Web ACL 相比,您會看到以下差異: AWS CloudFormation

  • AWS CloudFormation 在沒有規則的情況下,不會報告 Web ACL 實際配置之間的堆棧漂移狀態,使用 Shield 高級規則組規則和 Web ACL 模板之間的任何漂移。護 Shield 進階規則不會出現在漂移詳細資料中資源的實際清單中。

    您可以在從 AWS WAF中擷取的 Web ACL 清單 (例如透過 AWS WAF 主控台或 AWS WAF API) 查看「Shield 牌進階」規則群組規則。

  • 如果您修改堆疊中的 Web ACL 範本, AWS WAF 且「Shield 牌進階」會自動在更新的 Web ACL 中維護防 Shield 進階自動緩和規則。防護進階提供的自動緩解保 Shield 功能不會因您對網路 ACL 的更新而中斷。

請勿在您的 AWS CloudFormation 網頁 ACL 範本中管理護 Shield 進階規則。網頁 ACL 範本不應該列出「Shield 牌進階」規則。請遵循網頁 ACL 管理的最佳作法,請參閱使用自動緩解措施的最佳做法