本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
使用 AWS WAF Web ACL 和 Shield Advanced 保护应用程序层
本页介绍了 AWS WAF Web ACL 和 Shield Advanced 如何合作创建基本的应用程序层保护。
要使用 Shield Advanced 保护应用程序层资源,首先要将 AWS WAF Web ACL 与资源关联。AWS WAF 是一种 Web 应用程序防火墙,允许您监视转发到您的应用程序层资源的 HTTP 和 HTTPS 请求,并根据请求的特征控制对您的内容的访问。您可以配置 Web ACL,根据请求的来源、查询字符串和 Cookie 的内容以及来自单个 IP 地址的请求速率等因素来监控和管理请求。要进行 Shield Advanced 保护,您至少要将 Web ACL 与基于速率的规则相关联,该规则限制了每个 IP 地址的请求速率。
如果关联的 Web ACL 没有定义基于速率的规则,Shield Advanced 会提示您定义至少一个规则。当来自源 IP 的流量超过您定义的阈值时,基于速率的规则会自动阻止这些流量。它们有助于保护您的应用程序免受 Web 请求泛洪的侵害,并可以提供有关流量突然激增的警报,提示您可能存在 DDoS 攻击。
注意
基于速率的规则以非常快的速度响应规则监控的流量峰值。因此,基于速率的规则不仅可以防止攻击,还可以由 Shield Advanced 检测潜在的攻击。这种权衡有利于预防,而不是为了完全了解攻击模式。我们建议使用基于速率的规则作为抵御“攻击”的第一道防线。
设置好 Web ACL 后,如果发生 DDoS 攻击,您可以通过在 Web ACL 中添加和管理规则来采取缓解措施。您可以在 Shield Response Team 的帮助下直接执行此操作,也可以通过应用程序层 DDoS 自动缓解措施来自动执行此操作。
重要
如果您还使用应用程序层 DDoS 自动缓解,请前往 使用应用程序层 DDoS 自动缓解的最佳实践 参阅管理 Web ACL 的最佳实践。
有关使用 AWS WAF 管理 Web 请求监控和管理规则的信息,请参阅 在 AWS WAF 中创建 Web ACL。
