Aktivierung der automatischen DDoS Schadensbegrenzung auf Anwendungsebene - AWS WAFAWS Firewall Manager, und AWS Shield Advanced
Wenn Sie die automatische Schadensbegrenzung aktivieren

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Aktivierung der automatischen DDoS Schadensbegrenzung auf Anwendungsebene

Auf dieser Seite wird erklärt, wie Shield Advanced so konfiguriert wird, dass es automatisch auf Angriffe auf Anwendungsebene reagiert.

Sie aktivieren die automatische Schadensbegrenzung von Shield Advanced als Teil des DDoS Schutzes auf Anwendungsebene für Ihre Ressource. Informationen dazu, wie Sie dies über die Konsole tun können, finden Sie unter. Konfigurieren Sie den DDoS Schutz auf Anwendungsebene

Für die automatische Schadensbegrenzungsfunktion müssen Sie wie folgt vorgehen:

  • Der Ressource ein Web ACL zuordnen — Dies ist für jeden Shield Advanced-Schutz auf Anwendungsebene erforderlich. Sie können dasselbe Web ACL für mehrere Ressourcen verwenden. Wir empfehlen, dies nur für Ressourcen mit ähnlichem Traffic zu tun. Informationen zum InternetACLs, einschließlich der Anforderungen für deren Verwendung mit mehreren Ressourcen, finden Sie unterWie AWS WAF funktioniert.

  • Automatische DDoS Abwehr auf Anwendungsebene mit Shield Advanced aktivieren und konfigurieren — Wenn Sie diese Option aktivieren, geben Sie an, ob Shield Advanced Webanfragen, die als Teil eines DDoS Angriffs eingestuft werden, automatisch blockieren oder zählen soll. Shield Advanced fügt dem zugehörigen Web eine Regelgruppe hinzu ACL und verwendet sie, um die Reaktion auf DDoS Angriffe auf die Ressource dynamisch zu verwalten. Informationen zu den Aktionsoptionen für Regeln finden Sie unterVerwenden von Regelaktionen in AWS WAF.

  • (Optional, aber empfohlen) Fügen Sie dem Web eine ratenbasierte Regel hinzu ACL — Standardmäßig bietet die ratenbasierte Regel Ihrer Ressource grundlegenden Schutz vor DDoS Angriffen, indem sie verhindert, dass eine einzelne IP-Adresse in kurzer Zeit zu viele Anfragen sendet. Informationen zu ratenbasierten Regeln, einschließlich Optionen und Beispielen für die Aggregation von benutzerdefinierten Anfragen, finden Sie unter. Verwendung ratenbasierter Regelanweisungen in AWS WAF

Was passiert, wenn Sie die automatische Schadensbegrenzung aktivieren

Shield Advanced macht Folgendes, wenn Sie die automatische Schadensbegrenzung aktivieren:

  • Fügt bei Bedarf eine Regelgruppe für die Verwendung von Shield Advanced hinzu — Wenn das AWS WAF WebACL, das Sie der Ressource zugeordnet haben, nicht bereits über eine AWS WAF Regelgruppenregel verfügt, die der automatischen DDoS Abwehr auf Anwendungsebene gewidmet ist, fügt Shield Advanced eine hinzu.

    Der Name der Regelgruppenregel beginnt mitShieldMitigationRuleGroup. Die Regelgruppe enthält immer eine ratenbasierte Regel mit dem NamenShieldKnownOffenderIPRateBasedRule, die das Volumen der Anfragen von IP-Adressen begrenzt, von denen bekannt ist, dass sie Angriffsquellen DDoS sind. Weitere Informationen zur Regelgruppe Shield Advanced und der ACL Webregel, die auf sie verweist, finden Sie unterSchutz der Anwendungsebene mit der Shield Advanced-Regelgruppe.

  • Beginnt, auf DDoS Angriffe gegen die Ressource zu reagieren — Shield Advanced reagiert automatisch auf DDoS Angriffe auf die geschützte Ressource. Zusätzlich zur ratenbasierten Regel, die immer vorhanden ist, verwendet Shield Advanced seine Regelgruppe, um benutzerdefinierte AWS WAF Regeln zur Abwehr von DDoS Angriffen bereitzustellen. Shield Advanced passt diese Regeln an Ihre Anwendung und die Angriffe an, denen Ihre Anwendung ausgesetzt ist, und testet sie vor der Bereitstellung anhand des historischen Datenverkehrs der Ressource.

Shield Advanced verwendet in jedem Web, das Sie für die automatische Schadensbegrenzung verwendenACL, eine einzige Regelgruppenregel. Wenn Shield Advanced die Regelgruppe für eine andere geschützte Ressource bereits hinzugefügt hat, fügt es dem Web keine weitere Regelgruppe hinzuACL.

Die automatische DDoS Abwehr von Angriffen auf Anwendungsebene hängt vom Vorhandensein der Regelgruppe ab. Wenn die Regelgruppe aus irgendeinem Grund aus dem AWS WAF Internet ACL entfernt wird, wird durch das Entfernen die automatische Abwehr für alle Ressourcen deaktiviert, die mit dem Internet verknüpft sind. ACL