設定AWS Shield Advanced保護 - AWS WAF、AWS Firewall Manager 與 AWS Shield Advanced

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

設定AWS Shield Advanced保護

您隨時可以變更您 AWS Shield Advanced 保護設定。若要執行這項操作,請逐步查看選取保護的選項,然後修改您需要變更的設定。

注意

此處提供的主控台指南適用於最新版本的AWS Shield控制台,在 2020 年發布。在主控台中,您可以在不同的版本之間進行切換。

管理受保護的資源

  1. 登入AWS Management Console開啟AWS WAF Shield Advanced 主控台https://console.aws.amazon.com/wafv2/

  2. 在 中AWS Shield導覽窗格中,選擇受保護的資源

  3. 在 中受保護的資源標籤上,選取您要保護的資源。

  4. 選擇設定保護和您想要的資源規格選項。

  5. 逐步執行每個資源保護選項,視需要進行變更。接下來的主題涵蓋每個選項。

設定第 7 層 DDoS 緩和措施

若要防範 Amazon CloudFront 和 Application Load Balancer 資源的攻擊,您可以將AWS WAFWeb ACL 和速率型規則。如需 AWS WAF 運作方式的資訊,請參閱AWS WAF

如 Shield 您在AWS Firewall ManagerShield 進階政策,您無法新增 Web ACL 或速率型規則。

新增 Web ACL 和規則

  1. 在 中設定第 7 層 DDoS 緩和措施頁面上,如果資源尚未與 Web ACL 關聯,您可以選擇現有的 Web ACL 或建立自己的 Web ACL。

    若要建立 Web ACL,請執行下列步驟:

    1. 選擇 建立 Web ACL

    2. 輸入名稱。建立 Web ACL 後無法修改名稱。

    3. 選擇 Create (建立)。

    注意

    如果資源已與 Web ACL 關聯,您無法變更為不同的 Web ACL。如果您想要變更 Web ACL,您必須先從資源移除關聯的 Web ACL。如需更多詳細資訊,請參閱 將 Web ACL 與建立關聯或取消關聯AWS資源

    若要建立您自己的 Web ACL,請依照下列步驟執行:

  2. 對於每個未定義速率型規則的關聯 Web ACL,您可以透過選擇新增速率限制規則,然後執行以下步驟:

    1. 輸入名稱。

    2. 輸入速率限制。這是在任何五分鐘期間內允許來自任何單一 IP 地址的最多請求數量,然後將以速率為基礎的規則動作套用至 IP 地址。當來自 IP 位址的要求低於限制時,動作就會中止。

    3. 設定規則動作,以計算或封鎖來自請求計數超過限制之 IP 地址的請求。應用程式和規則動作的移除可能會在 IP 位址要求速率變更後一兩分鐘生效。

    4. 選擇 Add rule (新增規則)。

  3. 選擇 Next (下一步)

設定根據運作狀態的 DDoS 偵測

您可以使用 Amazon Route 53 運作狀態檢查來改善AWS Shield Advanced偵測和防範網路層、傳輸層和應用程式層攻擊。如需其運作方式的相關資訊,請參閱Shield Advanced

若要開始使用以運作狀態為基礎 Route 53 偵測,請為AWS資源,以保護進階保 Shield。如需 Route 53 運作狀態檢查的資訊,請參閱Amazon Route 53 如何檢查資源的運作 Health建立和更新運作狀態檢查。建立運作狀態檢查後,請使用下列程序將其與您的保護建立關聯。

注意

您有責任確保您使用的運作狀態檢查與受保護資源的運作狀態相關,而且該運作狀態檢查仍然可供保護使用。Shield 進階版不會以任何方式管理健康檢查。

下列程序說明如何將 Amazon Route 53 運作狀態檢查與保護產生關聯。

設定根據運作狀態的 DDoS 偵測

  1. 在保護頁面設定根據運作狀態檢查的 DDoS 偵測-選擇性,對於您要管理的資源,請在相關 Health 檢查下,選擇您要與保護產生關聯的運作狀態檢查 ID。

    注意

    如果看不到您需要的運作狀態檢查,請前往 Route 53 主控台確認運作狀態檢查及其 ID。如需相關資訊,請參閱建立和更新運作狀態檢查

  2. 選擇 Next (下一步)

保 Shield 進階運作狀態檢查狀態設定

在 Shield 主控台中,與保護產生關聯的運作狀態檢查狀態可具有下列值:

  • 狀態良好— 運作狀態檢查可供使用,且報告狀況良好。

  • 運作狀態不良— 運作狀態檢查可供使用,且報告狀況不良。

  • Unavailable— 運作狀態檢查無法供進階 Shield 使用。若要解決此問題,請先在 Shield Advanced (防護) 中取消運作狀態檢查與保護的關聯。然後,在 Route 53 中,為保護建立新的運作狀態檢查,並記下其 ID。最後,依照本主題中的程序,將新的運作狀態檢查與保護產生關聯。請勿嘗試重新關聯已無法使用的運作狀態檢查。

建立警示和通知

下列程序說明如何管理受保護資源的 CloudWatch 警示。

注意

CloudWatch 會產生額外費用。如需 CloudWatch 定價,請參閱Amazon CloudWatch 定價

建立警示和通知

  1. 在保護頁面建立警示和通知-選擇性中,針對您要接收的警示和通知設定 SNS 主題。對於您不想收到通知的資源,請選擇 No topic (無主題)。您可以新增 Amazon SNS 主題或建立新主題。

  2. 若要建立 Amazon SNS 主題,請依照以下步驟:

    1. 在下拉式清單中,選擇建立 SNS 主題

    2. 輸入主題名稱。

    3. 選擇性地輸入將用於 Amazon SNS 訊息的電子郵件地址,然後選擇新增電子郵件。您可以輸入多個資訊。

    4. 選擇 Create (建立)。

  3. 選擇 Next (下一步)