Configurando as DDoS proteções da camada de aplicativo (camada 7) com AWS WAF - AWS WAF, AWS Firewall Manager, e AWS Shield Advanced

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Configurando as DDoS proteções da camada de aplicativo (camada 7) com AWS WAF

Esta página fornece instruções para configurar as proteções da camada de aplicação com AWS WAF a web. ACLs

Para proteger um recurso da camada de aplicação, o Shield Advanced usa uma AWS WAF web ACL com uma regra baseada em taxas como ponto de partida. AWS WAF é um firewall de aplicativo da web que permite monitorar as HTTPS solicitações HTTP e que são encaminhadas para os recursos da camada de aplicativos e permite controlar o acesso ao seu conteúdo com base nas características das solicitações. Uma regra baseada em taxas limita o volume de tráfego com base nos critérios de agregação de solicitações, fornecendo DDoS proteção básica ao seu aplicativo. Para ter mais informações, consulte Como AWS WAF funciona e Usando declarações de regras baseadas em taxas em AWS WAF.

Opcionalmente, você também pode ativar a DDoS mitigação automática da camada de aplicação do Shield Advanced, para que o Shield Advanced tenha solicitações de limite de taxa de DDoS fontes conhecidas e forneça automaticamente proteções específicas de incidentes para você.

Importante

Se você gerencia suas proteções Shield Advanced AWS Firewall Manager usando uma política Shield Advanced, não poderá gerenciar as proteções da camada de aplicativos aqui. Você deve gerenciá-las na política do Shield Advanced do Firewall Manager.

Assinaturas e custos do Shield Advanced AWS WAF

Sua assinatura do Shield Advanced cobre os custos de uso dos AWS WAF recursos padrão dos recursos que você protege com o Shield Advanced. As AWS WAF taxas padrão cobertas pelas proteções Shield Advanced são o custo por webACL, o custo por regra e o preço base por milhão de solicitações de inspeção de solicitações web, até 1.500 WCUs e até o tamanho padrão do corpo.

A ativação da DDoS mitigação automática da camada de aplicativos do Shield Advanced adiciona um grupo de regras à sua web ACL que usa 150 unidades de ACL capacidade da web ()WCUs. Isso WCUs conta contra o WCU uso em sua webACL. Para mais informações, consulte Automatizando a DDoS mitigação da camada de aplicativos com o Shield Advanced , Protegendo a camada do aplicativo com o grupo de regras Shield Advanced e Entendendo as unidades ACL de capacidade da web (WCUs) em AWS WAF.

Sua assinatura do Shield Advanced não cobre o uso AWS WAF de recursos que você não protege usando o Shield Advanced. Também não cobre nenhum custo adicional não padronizado AWS WAF para recursos protegidos. Exemplos de AWS WAF custos não padronizados são aqueles do Bot Control, para o CAPTCHA ação de regra, para sites ACLs que usam mais de 1.500 WCUs e para inspecionar o corpo da solicitação além do tamanho padrão. A lista completa é fornecida na página AWS WAF de preços.

Para obter informações completas e exemplos de preços, consulte Preços do Shield e Preços do AWS WAF.

Para configurar DDoS proteções de camada 7 para uma região

O Shield Advanced oferece a opção de configurar a DDoS mitigação da camada 7 para cada região em que os recursos escolhidos estão localizados. Se você estiver adicionando proteções em várias regiões, o assistente o guiará pelo procedimento a seguir para cada região.

  1. A página Configurar DDoS proteções da camada 7 lista cada recurso que ainda não está associado a uma webACL. Para cada uma delas, escolha uma web existente ACL ou crie uma nova webACL. Para qualquer recurso que já tenha uma Web associadaACL, você pode alterar a Web ACLs desassociando primeiro a atual. AWS WAF Para obter mais informações, consulte Associando ou desassociando uma web com um ACL AWS recurso.

    Para sites ACLs que ainda não têm uma regra baseada em taxas, o assistente de configuração solicita que você adicione uma. Uma regra baseada em intervalos limita o tráfego de endereços IP quando eles estão enviando um grande volume de solicitações. As regras baseadas em taxas ajudam a proteger seu aplicativo contra inundações de solicitações da web e podem fornecer alertas sobre picos repentinos no tráfego que podem indicar um possível ataque. DDoS Adicione uma regra baseada em taxa a uma web ACL escolhendo Adicionar regra de limite de taxa e, em seguida, fornecendo um limite de taxa e uma ação de regra. Você pode configurar proteções adicionais na web ACL por meio AWS WAF de.

    Para obter informações sobre o uso de regras baseadas na web ACLs e em taxas em suas proteções Shield Advanced, incluindo opções adicionais de configuração para regras baseadas em taxas, consulte. Protegendo a camada de aplicação com AWS WAF web ACLs e Shield Advanced

  2. Para a DDoSmitigação automática da camada de aplicativo, se você quiser que o Shield Advanced mitigue automaticamente DDoS os ataques contra seus recursos da camada de aplicativo, escolha Ativar e, em seguida, selecione a ação de AWS WAF regra que você deseja que o Shield Advanced use em suas regras personalizadas. Essa configuração se aplica a toda a Web ACLs para os recursos que você está gerenciando nesta sessão do assistente.

    Com a DDoS mitigação automática da camada de aplicativos, o Shield Advanced mantém uma regra baseada em taxas na AWS WAF web do recurso ACL que limita o volume de solicitações de fontes conhecidas. DDoS Além disso, o Shield Advanced compara os padrões de tráfego atuais com as linhas de base do tráfego histórico para detectar desvios que possam indicar um ataque. DDoS Quando o Shield Advanced detecta um DDoS ataque, ele responde criando, avaliando e implantando regras personalizadas AWS WAF para responder. Você especifica se as regras personalizadas contam ou bloqueiam ataques em seu nome.

    nota

    A DDoS mitigação automática da camada de aplicativo funciona somente com sites ACLs criados usando a versão mais recente do AWS WAF (v2).

    Para obter mais informações sobre a DDoS mitigação automática da camada de aplicação do Shield Advanced, incluindo advertências e melhores práticas para usar esse recurso, consulte. Automatizando a DDoS mitigação da camada de aplicativos com o Shield Advanced

  3. Escolha Próximo. O assistente do console avança para a página de detecção baseada em integridade.