Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Protezione del livello applicativo con il gruppo di regole Shield Advanced
Questa pagina spiega come funziona il gruppo di regole Shield Advanced nel tuo webACL.
Shield Advanced gestisce le attività di mitigazione automatica utilizzando le regole di un gruppo di regole che possiede e gestisce per te. Shield Advanced fa riferimento al gruppo di regole con una regola sul Web ACL associata alla risorsa protetta.
La regola del gruppo di regole nel tuo web ACL
La regola del gruppo di regole Shield Advanced nel tuo Web ACL ha le seguenti proprietà:
-
Nome:
ShieldMitigationRuleGroup_account-id_web-acl-id_unique-identifier -
Unità ACL di capacità Web (WCU): 150. Queste vengono WCUs conteggiate ai fini dell'WCUutilizzo nel tuo sito webACL.
Shield Advanced crea questa regola nel Web ACL con un'impostazione di priorità di 10.000.000, in modo che venga applicata dopo le altre regole e gruppi di regole sul Web. ACL AWS WAF esegue le regole in un Web a ACL partire dall'impostazione di priorità numerica più bassa in poi. Durante la gestione del WebACL, questa impostazione di priorità potrebbe cambiare.
La funzionalità di mitigazione automatica non consuma AWS WAF risorse aggiuntive nel tuo account, oltre a quelle WCUs utilizzate dal gruppo di regole sul tuo webACL. Ad esempio, il gruppo di regole Shield Advanced non viene conteggiato come uno dei gruppi di regole del tuo account. Per informazioni sui limiti degli account in AWS WAF, consultaAWS WAF quote.
Regole nel gruppo di regole
All'interno del gruppo di regole Shield Advanced di riferimento, Shield Advanced mantiene una regola basata sulla frequenzaShieldKnownOffenderIPRateBasedRule, che limita il volume di richieste provenienti da indirizzi IP noti per essere fonti di attacchi. DDoS Questa regola funge da prima linea di difesa contro qualsiasi attacco, perché è sempre presente nel gruppo di regole e non si basa sull'analisi dei modelli di traffico per contenere gli attacchi. L'azione di questa regola è impostata sull'azione scelta per le mitigazioni automatiche, proprio come le altre regole del gruppo di regole. Per informazioni sulle regole basate sulle tariffe, consulta. Utilizzo di istruzioni di regole basate sulla tariffa in AWS WAF
Nota
La regola basata sulla frequenza ShieldKnownOffenderIPRateBasedRule funziona indipendentemente dal rilevamento degli eventi Shield Advanced. Sebbene la mitigazione automatica sia abilitata, questa regola limita gli indirizzi IP noti per essere fonti di attacchi. DDoS Per questi indirizzi IP, la limitazione della velocità della regola può prevenire gli attacchi e anche impedire che gli attacchi compaiano nelle informazioni di rilevamento di Shield Advanced. Questo compromesso favorisce la prevenzione rispetto alla completa visibilità dei modelli di attacco.
Oltre alla regola permanente basata sulla frequenza descritta sopra, il gruppo di regole contiene tutte le regole attualmente utilizzate da Shield Advanced per mitigare gli DDoS attacchi. Shield Advanced aggiunge, modifica e rimuove queste regole secondo necessità. Per informazioni, consultare Come Shield Advanced gestisce la mitigazione automatica.
Metriche
Il gruppo di regole genera AWS WAF metriche, ma poiché questo gruppo di regole è di proprietà di Shield Advanced, queste metriche non sono disponibili per la visualizzazione. Per ulteriori informazioni, consulta AWS WAF metriche e dimensioni.
