Shield Advanced ルールグループによるアプリケーションレイヤーの保護 - AWS WAF、 AWS Firewall Manager、および AWS Shield Advanced

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Shield Advanced ルールグループによるアプリケーションレイヤーの保護

このページでは、ウェブ での Shield Advanced ルールグループの仕組みについて説明しますACL。

Shield Advanced は、所有および管理するルールグループ内のルールを使用して、自動緩和アクティビティを管理します。Shield Advanced は、保護されたリソースACLに関連付けられているウェブ内のルールでルールグループを参照します。

ウェブのルールグループルール ACL

ウェブの Shield Advanced ルールグループルールACLには、次のプロパティがあります。

  • 名前ShieldMitigationRuleGroup_account-id_web-acl-id_unique-identifier

  • ウェブACL容量単位 (WCU) – 150。これらは、ウェブ でのWCU使用状況にWCUsカウントされますACL。

Shield Advanced はこのルールを 10,000,000 の優先度設定ACLでウェブ内に作成し、ウェブ の他のルールとルールグループが、 上の最も低い数値優先度設定ACLからウェブ内でルールACL AWS WAF を実行します。ウェブ の管理中にACL、この優先度設定が変更される可能性があります。

自動緩和機能は、ウェブ のルールグループWCUsで使用される 以外の、アカウント内の追加の AWS WAF リソースを消費しませんACL。例えば、Shield Advanced ルールグループは、アカウントのルールグループの 1 つとしてカウントされません。のアカウント制限の詳細については AWS WAF、「」を参照してくださいAWS WAF クォータ

ルールグループ内のルール

参照される Shield Advanced ルールグループ内で、Shield Advanced はレートベースのルール を維持しShieldKnownOffenderIPRateBasedRule、DDoS攻撃のソースとして知られている IP アドレスからのリクエストの量を制限します。このルールは常にルールグループに存在し、トラフィックパターンの分析に頼らずに攻撃を封じ込めるため、あらゆる攻撃に対する防御の最前線として機能します。このルールのアクションは、ルールグループの他のルールと同様に、自動緩和策で選択したアクションに設定されます。レートベースルールの詳細については、「でのレートベースのルールステートメントの使用 AWS WAF」を参照してください。

注記

レートベースのルールは、Shield Advanced イベント検出とは無関係にShieldKnownOffenderIPRateBasedRule動作します。自動緩和が有効になっている間、このルールレートはDDoS攻撃のソースとして知られている IP アドレスを制限します。これらの IP アドレスの場合、ルールのレート制限により、攻撃を防止し、Shield Advanced 検出情報に攻撃が表示されないようにすることができます。このトレードオフは、攻撃パターンを完全に可視化するよりも防止を優先します。

上記の永続的なレートベースのルールに加えて、ルールグループには、Shield Advanced がDDoS攻撃を軽減するために現在使用しているルールが含まれています。Shield Advanced は、必要に応じてこれらのルールを追加、変更、削除します。詳細については、Shield Advanced が自動緩和を管理する方法 を参照してください。

メトリクス

ルールグループは AWS WAF メトリクスを生成しますが、このルールグループは Shield Advanced が所有するため、これらのメトリクスを表示することはできません。詳細については、「AWS WAF メトリクスとディメンション」を参照してください。