本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
启用应用程序层 DDoS 自动缓解
本页介绍了如何配置 Shield Advanced 以自动响应应用程序层攻击。
您可以启用 Shield Advanced 自动缓解作为资源应用程序层 DDoS 保护的一部分。有关在控制台上执行此操作的信息,请参阅 配置应用程序层 DDoS 保护。
自动缓解功能要求您执行以下操作:
-
将 Web ACL 与资源关联:这是任何 Shield Advanced 应用程序层保护所必需的。您可以对多个资源使用相同的 Web ACL。我们建议仅对流量相似的资源执行此操作。有关 Web ACL 的信息,包括将其用于多种资源的要求,请参阅 AWS WAF 的工作原理。
-
启用和配置 Shield Advanced 应用程序层 DDoS 自动缓解:启用此功能后,您可以指定是希望 Shield Advanced 自动阻止还是计算其确定为 DDoS 攻击一部分的网络请求。Shield Advanced 将规则组添加到关联的 Web ACL 中,并使用它来动态管理其对资源上的 DDoS 攻击的响应。有关规则操作选项的信息,请参阅 在 AWS WAF 中使用规则操作。
-
(可选,但建议设置)在 Web ACL 中添加基于速率的规则:默认情况下,基于速率的规则可防止任何单个 IP 地址在短时间内发送过多请求,从而为您的资源提供防御 DDoS 攻击的基本保护。有关基于速率的规则(包括自定义请求聚合选项和示例)的信息,请参阅 在 AWS WAF 中使用基于速率的规则语句。
在启用自动缓解时发生的情况
启用自动缓解后,Shield Advanced 会执行以下操作:
-
根据需要添加规则组以供 Shield Advanced 使用:如果您与资源关联的 AWS WAF Web ACL 还没有专门用于自动缓解应用程序层 DDoS 的 AWS WAF 规则组规则,Shield Advanced 会添加一条规则组规则。
规则组规则的名称以
ShieldMitigationRuleGroup
开头。该规则组始终包含一个名为ShieldKnownOffenderIPRateBasedRule
的基于速率的规则,用于限制来自已知为 DDoS 攻击来源的 IP 地址的请求量。有关 Shield Advanced 规则组和引用它的 Web ACL 规则的其他详细信息,请参阅 使用 Shield Advanced 规则组保护应用程序层。 -
开始响应针对资源的 DDoS 攻击:Shield Advanced 会自动响应受保护资源的 DDoS 攻击。除了始终存在的基于速率的规则外,Shield Advanced 还使用其规则组来部署缓解 DDoS 攻击的自定义 AWS WAF 规则。Shield Advanced 会根据您的应用程序和应用程序遇到的攻击量身定制这些规则,并在部署之前根据该资源的历史流量对其进行测试。
Shield Advanced 在您用于自动缓解的任何 Web ACL 中使用单个规则组规则。如果 Shield Advanced 已经为另一个受保护资源添加了规则组,则不会向 Web ACL 添加另一个规则组。
应用程序层 DDoS 的自动缓解取决于是否存在用于缓解攻击的规则组。如果出于任何原因将规则组从 AWS WAF Web ACL 中删除,则删除规则组将禁用与该 Web ACL 关联的所有资源的自动缓解措施。