本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
使用 AWS WAF Web ACLs 和 Shield Advanced 保护应用层
本页介绍了 AWS WAF web ACLs 和 Shield Advanced 如何协同工作以创建基本的应用层保护。
要使用 Shield Advanced 保护应用层资源,首先要将 AWS WAF 网站ACL与资源相关联。 AWS WAF 是一种 Web 应用程序防火墙,允许您监控转发到应用层资源的HTTP和HTTPS请求,并允许您根据请求的特征控制对内容的访问权限。您可以将 Web 配置ACL为根据请求的来源、查询字符串和 Cookie 的内容以及来自单个 IP 地址的请求速率等因素来监控和管理请求。您的 Shield Advanced 保护至少要求您将网站ACL与基于速率的规则相关联,该规则限制了每个 IP 地址的请求速率。
如果关联的网站ACL没有定义基于速率的规则,Shield Advanced 会提示你至少定义一个规则。当流量超过您定义的阈值IPs时,基于速率的规则会自动阻止来自来源的流量。它们有助于保护您的应用程序免受 Web 请求泛滥的影响,并且可以提供有关可能表明潜在DDoS攻击的流量突然激增的警报。
注意
基于速率的规则可以非常快速地响应该规则所监控的流量峰值。因此,基于速率的规则不仅可以防止攻击,还可以防止通过Shield Advanced检测检测到潜在的攻击。这种权衡有利于预防,而不是完全了解攻击模式。我们建议使用基于速率的规则作为抵御攻击的第一道防线。
有了网络后,如果发生DDoS攻击,您可以通过ACL在网络中添加和管理规则来采取缓解措施。ACL您可以在 Shield Response Team (SRT) 的协助下直接执行此操作,也可以通过自动应用层DDoS缓解来自动执行此操作。
重要
如果您还使用自动应用层DDoS缓解措施,请参阅管理您的 Web 的最佳实践,网址ACL为使用自动应用层DDoS缓解的最佳实践。
有关使用 AWS WAF 管理 Web 请求监控和管理规则的信息,请参阅ACL在中创建网站 AWS WAF。
