翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
Shield Advanced ルールグループによるアプリケーションレイヤーの保護
このページでは、ウェブ での Shield Advanced ルールグループの仕組みについて説明しますACL。
Shield Advanced は、所有および管理するルールグループ内のルールを使用して、自動緩和アクティビティを管理します。Shield Advanced は、保護されたリソースACLに関連付けられているウェブ内のルールでルールグループを参照します。
ウェブのルールグループルール ACL
ウェブの Shield Advanced ルールグループルールACLには、次のプロパティがあります。
-
名前 –
ShieldMitigationRuleGroup
_
account-id
_web-acl-id
_unique-identifier
-
ウェブACL容量単位 (WCU) – 150。これらは、ウェブ でのWCU使用状況にWCUsカウントされますACL。
Shield Advanced はこのルールを 10,000,000 の優先度設定ACLでウェブ内に作成し、ウェブ の他のルールとルールグループが、 上の最も低い数値優先度設定ACLからウェブ内でルールACL AWS WAF を実行します。ウェブ の管理中にACL、この優先度設定が変更される可能性があります。
自動緩和機能は、ウェブ のルールグループWCUsで使用される 以外の、アカウント内の追加の AWS WAF リソースを消費しませんACL。例えば、Shield Advanced ルールグループは、アカウントのルールグループの 1 つとしてカウントされません。のアカウント制限の詳細については AWS WAF、「」を参照してくださいAWS WAF クォータ。
ルールグループ内のルール
参照される Shield Advanced ルールグループ内で、Shield Advanced はレートベースのルール を維持しShieldKnownOffenderIPRateBasedRule
、DDoS攻撃のソースとして知られている IP アドレスからのリクエストの量を制限します。このルールは常にルールグループに存在し、トラフィックパターンの分析に頼らずに攻撃を封じ込めるため、あらゆる攻撃に対する防御の最前線として機能します。このルールのアクションは、ルールグループの他のルールと同様に、自動緩和策で選択したアクションに設定されます。レートベースルールの詳細については、「でのレートベースのルールステートメントの使用 AWS WAF」を参照してください。
注記
レートベースのルールは、Shield Advanced イベント検出とは無関係にShieldKnownOffenderIPRateBasedRule
動作します。自動緩和が有効になっている間、このルールレートはDDoS攻撃のソースとして知られている IP アドレスを制限します。これらの IP アドレスの場合、ルールのレート制限により、攻撃を防止し、Shield Advanced 検出情報に攻撃が表示されないようにすることができます。このトレードオフは、攻撃パターンを完全に可視化するよりも防止を優先します。
上記の永続的なレートベースのルールに加えて、ルールグループには、Shield Advanced がDDoS攻撃を軽減するために現在使用しているルールが含まれています。Shield Advanced は、必要に応じてこれらのルールを追加、変更、削除します。詳細については、Shield Advanced が自動緩和を管理する方法 を参照してください。
メトリクス
ルールグループは AWS WAF メトリクスを生成しますが、このルールグループは Shield Advanced が所有するため、これらのメトリクスを表示することはできません。詳細については、「AWS WAF メトリクスとディメンション」を参照してください。