AWS Shield Advanced 政策: - AWS WAF、AWS Firewall Manager 與 AWS Shield Advanced

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

AWS Shield Advanced 政策:

當您套用已啟用 auto 修復的 Firewall Manager 防 Shield 進階策略時,針對尚未與AWS WAFWeb ACL,Firewall Manager 關聯一個空AWS WAFWeb ACL 空的腹板 ACL 僅用於 Shield 監視目的。如果您接著將任何其他 Web ACL 與資源建立關聯,則 Firewall Manager 會移除空的 Web ACL 關聯。

操作說明AWS Firewall Manager管理護 Shield 政策中的範圍變更

帳戶和資源可能超出的範圍AWS Firewall Manager由於許多變更 (例如變更策略範圍設定、資源標籤的變更,以及從組織移除帳號),因此 Shield 進階策略。如需政策範圍設定的一般資訊,請參閱AWS Firewall Manager政策範圍

用一個AWS Firewall ManagerShield 進階策略 (如果帳號或資源超出範圍),Firewall Manager 會停止監視帳號或資源。

如果帳號因從組織中移除而超出範圍,該帳號將會繼續訂閱 Shield 牌進階版。由於該帳戶不再是合併帳單系列的一部分,因此帳戶將產生按比例收取的 Shield Advanced 訂閱費。另一方面,超出範圍但仍在組織中的帳戶不會產生額外費用。

如果資源超出範圍,則會繼續受到「Shield 牌進階」的保護,並繼續產生「Shield 牌進階」資料傳輸費用。

適用於亞馬遜的自動應用程式層 DDoS 緩解 CloudFront分佈

當您將 Shield 牌高級政策應用於亞馬遜 CloudFront 發行版中,您可以選擇在策略中配置 Shield 高級自動應用程序層 DDoS 緩解。

如需有關防 Shield 進階自動緩解的資訊,請參閱〈Shield 高級自動應用層 DDoS 緩解

防 Shield 先進的應用程式層 DDoS 防禦有以下要求:

  • 自動應用程式層 DDoS 緩解功能僅適用於亞馬遜 CloudFront 的費用。

    因此,您只能針對您建立的 Shield 進階政策選擇此選項全球服務區域,與亞馬遜搭配使用 CloudFront 分佈。

  • 自動應用程式層 DDoS 緩解功能僅適用於使用最新版本的建立的 Web ACLAWS WAF(v2) 您無法使用自動緩和措施AWS WAF傳統 Web ACL。

    正因為如此,如果您有使用的策略AWS WAF傳統 Web ACL,您必須使用新原則取代原則,這會自動使用最新版本的AWS WAF,或讓 Firewall Manager 為您現有的策略創建新版 Web ACL 並切換到使用它們。如需選項的詳細資訊,請參閱 ReplaceAWS WAF具有最新版網路 ACL 的傳統網路 ACL

自動緩解組態

Firewall Manager Shield 進階政策的自動應用程式層 DDoS 緩解選項可將 Shield 進階自動緩解功能套用至您政策範圍內的帳戶和資源。如需本 Shield 牌進階功能的詳細資訊,請參閱Shield 高級自動應用層 DDoS 緩解

您可以選擇讓 Firewall Manager 啟用或停用自動緩和措施 CloudFront在策略範圍內的散佈,或者您可以選擇讓策略略過 Shield 進階自動緩和措施設定:

  • 啟用— 如果您選擇啟用自動緩和措施,您也可以指定緩和 Shield Advanced 規則是否應該計數或封鎖相符的 Web 要求。如果範圍內的資源未啟用自動緩解措施,或者使用的規則動作與您為策略指定的動作不符,Firewall Manager 會將其標記為不符合標準。如果您設定自動修復的策略,則 Firewall Manager 會視需要更新不符合標準的資源。

  • Disable— 如果您選擇停用自動緩和措施,則 Firewall Manager 會在範圍內的資源標記為不相容 (如果已啟用自動緩和措施)。如果您設定自動修復的策略,則 Firewall Manager 會視需要更新不符合標準的資源。

  • Ignore— 如果您選擇忽略自動緩和措施,Firewall Manager 在針對策略執行補救活動時,將不會考慮任何自動緩和措施設定。此設定可讓您透過 Shield Advanced 在資源層級啟用或停用自動緩和措施,而不會讓 Firewall Manager 覆寫這些設定。

ReplaceAWS WAF具有最新版網路 ACL 的傳統網路 ACL

自動應用程式層 DDoS 緩解功能僅適用於使用最新版本的建立的 Web ACLAWS WAF(v2) 您無法使用自動緩和措施AWS WAF傳統 Web ACL。

若要判斷 Shield 進階政策的網頁 ACL 版本,請參閱判斷版本AWS WAF這是由 Shield 牌進階政策所使用

如果您想在 Shield Advanced 策略中使用自動緩解措施,且您的政策目前正在使用AWS WAF傳統 Web ACL,您可以建立新的 Shield 進階政策來取代目前的防護進階政策,或者您可以使用本節中描述的選項,在您目前的 Shield 牌進階政策中,以新的 (v2) Web ACL 取代舊版 Web ACL。新政策一律會使用最新版的建立 Web ACLAWS WAF。如果您取代整個原則,當您刪除它時,您也可以讓 Firewall Manager 刪除所有舊版 Web ACL。本節的其餘部分將說明您在現有原則中取代 Web ACL 的選項。

當您修改亞馬遜的現有 Shield 牌高級政策時 CloudFront 資源,Firewall Manager 可以自動創建一個新的空白AWS WAF(v2) 該策略的 Web ACL,在任何尚未具有 v2 Web ACL 的範圍內帳戶中。當 Firewall Manager 建立新的 Web ACL 時,如果策略已有AWS WAFFirewall Manager 使用相同帳戶中的傳統 Web ACL,使用與現有 Web ACL 相同的預設動作設定來設定新版 Web ACL。如果沒有現有的AWS WAF傳統 Web ACL,Firewall Manager 會將預設處理行動設定為Allow在新 Web ACL 中。Firewall Manager 建立新的 Web ACL 之後,您可以視需要透過AWS WAF主控台

當您選擇下列任一原則組態選項時,Firewall Manager 會為尚未擁有的範圍內帳戶建立新的 (v2) Web ACL:

  • 啟用或停用自動應用程式層 DDoS 緩解時。僅此選項只會導致 Firewall Manager 建立新的 Web ACL,而不會取代任何現有的 Web ACLAWS WAF原則範圍內資源的傳統 Web ACL 關聯。

  • 當您選擇政策動作時,並選擇取代選項時AWS WAF具有的傳統 Web ACLAWS WAF(v2) 網路 ACL。無論自動應用程式層 DDoS 緩解的組態選項為何,您都可以選擇取代舊版 Web ACL。

    當您選擇取代選項時,Firewall Manager 會視需要建立新版本的 Web ACL,然後針對原則的範圍內資源執行下列動作:

    • 如果資源與任何其他作用中的 Firewall Manager 策略中的 Web ACL 相關聯,則「Firewall Manager」會保留該關聯。

    • 對於任何其他情況,Firewall Manager 會刪除與AWS WAF傳統的 Web ACL,並將資源與策略的關聯AWS WAF(v2) 網絡交叉韌帶。

您可以選擇讓 Firewall Manager 視需要將舊版網頁 ACL 取代為新版網頁 ACL。如果您先前已自訂原則AWS WAF傳統 Web ACL,您可以將新版 Web ACL 更新為可比較的設定,然後再選擇讓 Firewall Manager 執行取代步驟。

您可以透過相同版本的主控台存取原則的任一 Web ACL 版本,AWS WAF或者AWS WAFClassic (傳統)。

Firewall Manager 不會刪除任何已取代的AWS WAF傳統的網路 ACL,直到您刪除原則本身為止。在之後AWS WAF原則不再使用傳統 Web ACL,您可以視需要將其刪除。

判斷版本AWS WAF這是由 Shield 牌進階政策所使用

您可以確定哪個版本AWS WAF您的 Firewall Manager 防 Shield 進階政策使用,方法是查看策略中的參數金鑰AWS Config服務連結規則。如果AWS WAF正在使用的版本是最新的,參數鍵包括policyIdwebAclArn。如果是早期版本,AWS WAF經典,參數鍵包括webAclIdresourceTypes

所以此AWS Config規則只會列出原則目前與範圍內資源搭配使用之 Web ACL 的金鑰。

若要判斷哪個版本的AWS WAF您的 Firewall Manager Shield Advanced 政策

  1. 擷取「Shield 進階」策略的策略 ID:

    1. 登入AWS Management Console使用 Firewall Manager 帳戶開啟 Firewall Manager 主控台https://console.aws.amazon.com/wafv2/fmsv2

    2. 在導覽窗格中,選擇安全政策

    3. 選擇策略的「地區」。適用於 CloudFront 分佈,這是Global

    4. 尋找您所需的政策,並複製其值的政策Policy ID (政策 ID)

      範例政策:1111111-2222-3333-4444-a55aa5aaa555

  2. 建立政策AWS Config規則名稱 (透過將原則 ID 附加至字串)FMManagedShieldConfigRule

    範例AWS Config規則名稱FMManagedShieldConfigRule1111111-2222-3333-4444-a55aa5aaa555

  3. 搜尋關聯的參數AWS Config命名之金鑰的規則policyIdwebAclArn

    1. 開啟AWS Config主控台https://console.aws.amazon.com/config/

    2. 在導覽窗格中,選擇 Rules (規則)。

    3. 找到您的 Firewall Manager 政策AWS Config清單中的規則名稱並加以選取。規則的頁面隨即開啟。

    4. 在下方規則詳細資訊,在參數部分,看看鑰匙。如果您找到名為的密鑰policyIdwebAclArn,此原則會使用使用最新版本的建立的 Web ACLAWS WAF。如果您找到名為的密鑰webAclIdresourceTypes,原則會使用使用舊版建立的 Web ACL,AWS WAFClassic (傳統)。