翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Shield Advanced アプリケーションレイヤーの AWS WAF ウェブACLsおよびレートベースのルール

Shield Advanced でアプリケーションレイヤーリソースを保護するには、まず ウェブを AWS WAF リソースACLに関連付けることから始めます。 は、アプリケーションレイヤーリソースに転送される HTTP および HTTPSリクエストをモニタリングし、リクエストの特性に基づいてコンテンツへのアクセスを制御できるウェブアプリケーションファイアウォール AWS WAF です。リクエストの発生場所、クエリ文字列と Cookie の内容、単一の IP アドレスからのリクエストのレートなどの要因に基づいて、リクエストをモニタリングおよび管理ACLするようにウェブを設定できます。少なくとも、Shield Advanced 保護では、ウェブをACLレートベースのルールに関連付ける必要があります。これにより、各 IP アドレスのリクエストのレートが制限されます。

関連付けられたウェブにレートベースのルールが定義ACLされていない場合、Shield Advanced は少なくとも 1 つを定義するように促します。レートベースのルールIPsは、定義したしきい値を超えると、ソースからのトラフィックを自動的にブロックします。これらは、ウェブリクエストのフラッドからアプリケーションを保護するのに役立ち、潜在的なDDoS攻撃を示している可能性のあるトラフィックの急増に関するアラートを提供します。

ウェブACLを配置すると、DDoS攻撃が発生した場合は、ウェブ にルールを追加して管理することで緩和策を適用できますACL。これは、Shield Response Team (SRT) の支援を受けて直接行うか、アプリケーションレイヤーの自動DDoS緩和によって自動的に行うことができます。

デフォルトのレートベースのルール動作

デフォルトの設定でレートベースのルールを使用すると、 は前の 5 分間の時間枠のトラフィック AWS WAF を定期的に評価します。 は、リクエストレートが許容レベルに低下するまで、ルールのしきい値を超える IP アドレスからのリクエストを AWS WAF ブロックします。Shield Advanced を使用してレートベースのルールを設定する場合、そのレートしきい値を、任意の 5 分間の時間枠で任意の 1 つのソース IP に予想される通常のトラフィックレートよりも大きい値に設定します。

ウェブ で複数のレートベースのルールを使用する場合がありますACL。例えば、高いしきい値を持つすべてのトラフィックについて 1 つのレートベースのルールを指定するとともに、ウェブアプリケーションの特定の部分と一致するように設定され、しきい値が低い追加のルールを 1 つ以上指定できます。例えば、ログインページに対する不正使用を軽減するために、しきい値が低い URI/login.htmlで を照合できます。

別の評価時間枠を使用し、ヘッダー値、ラベル、クエリ引数などの多数のリクエストコンポーネントによってリクエストを集約するようにレートベースのルールを設定できます。詳細については、「レートベースのルールステートメント」を参照してください。

追加情報とガイダンスについては、 セキュリティブログ記事「The three most important AWS WAF rate-based rules」を参照してください。

による設定オプションの拡張 AWS WAF

Shield Advanced コンソールでは、レートベースのルールを追加し、基本的なデフォルト設定で設定できます。を通じてレートベースのルールを管理することで、追加の設定オプションを定義できます AWS WAF。例えば、転送された IP アドレス、クエリ文字列、ラベルなどのキーに基づいてリクエストを集約するようにルールを設定できます。また、ルールにスコープダウンステートメントを追加して、一部のリクエストを評価およびレート制限から除外することも可能です。詳細については、「レートベースのルールステートメント」を参照してください。 AWS WAF を使用してウェブリクエストのモニタリングおよび管理ルールを管理する方法については、「」を参照してくださいウェブ ACL の作成。