使用 Shield Advanced 影响应用层事件检测和缓解的因素清单 - AWS WAFAWS Firewall Manager、和 AWS Shield Advanced

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

使用 Shield Advanced 影响应用层事件检测和缓解的因素清单

本节介绍影响 Shield Advanced 检测和缓解应用层事件的因素。

运行状况检查

Health 检查可以准确报告应用程序的整体运行状况,从而为 Shield Advanced 提供有关您的应用程序正在经历的流量状况的信息。当您的应用程序报告运行状况不佳时,Shield Advanced 需要更少的指向潜在攻击的信息,如果您的应用程序报告运行正常,则需要更多的攻击证据。

配置运行状况检查非常重要,这样它们才能准确地报告应用程序的运行状况。有关更多信息和指导,请参阅 使用 Shield Advanced 和 Route 53 的健康检查进行基于生命值的检

流量基线

流量基线为 Shield Advanced 提供了有关您的应用程序正常流量特征的信息。Shield Advanced 使用这些基准来识别您的应用程序何时未收到正常流量,因此它可以通知您,并根据配置开始设计和测试缓解选项来抵御潜在的攻击。有关 Shield Advanced 如何使用流量基准检测潜在事件的更多信息,请参阅概述部分Shield 应用层威胁的高级检测逻辑(第 7 层)

Shield Advanced 根据网络提供的与受保护资源关联ACL的信息创建其基准。Web ACL 必须与资源关联至少 24 小时零最多 30 天,Shield Advanced 才能可靠地确定应用程序的基准。所需时间从你通过 Shield Advanced 或通过 Shield Advanced 关联网络ACL时开始 AWS WAF。

有关使用具ACL有 Shield 高级应用层保护功能的网页的更多信息,请参阅使用 AWS WAF Web ACLs 和 Shield Advanced 保护应用层

基于速率的规则

基于速率的规则可以帮助缓解攻击。它们还可以掩盖攻击,方法是在攻击成为足够大的问题以至于出现在正常流量基线或运行状况检查状态报告中的问题之前对其进行缓解。

当您使用 Shield Advanced 保护应用程序资源ACL时,我们建议您在网络中使用基于速率的规则。尽管它们的缓解措施可以掩盖潜在的攻击,但它们是宝贵的第一道防线,有助于确保您的应用程序可供合法客户使用。基于速率的规则检测到的流量和速率限制在您的 AWS WAF 指标中可见。

除了您自己的基于速率的规则外,如果您启用自动应用层DDoS缓解,Shield Advanced 还会在您的网络ACL中添加一个用于缓解攻击的规则组。在此规则组中,Shield Advanced 始终采用基于速率的规则,用于限制来自已知是DDoS攻击源的 IP 地址的请求量。Shield Advanced 规则缓解的流量指标无法供您查看。

有关基于费率的规则的更多信息,请参阅在中使用基于费率的规则语句 AWS WAF。有关 Shield Advanced 用于自动应用层DDoS缓解的基于速率的规则的信息,请参阅使用 Shield Advanced 规则组保护应用层

有关 Shield Advanced 和 AWS WAF 指标的更多信息,请参阅使用 Amazon 进行监控 CloudWatch