本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
启用自动应用层 DDo S 缓解措施
本页介绍了如何配置 Shield Advanced 以自动响应应用程序层攻击。
您可以启用 Shield Advanced 自动缓解作为资源应用层 DDo S 保护的一部分。有关在控制台上执行此操作的信息,请参阅 配置应用层 DDo S 保护。
自动缓解功能要求您执行以下操作:
-
将 Web ACL 与资源关联:这是任何 Shield Advanced 应用程序层保护所必需的。您可以对多个资源使用相同的 Web ACL。我们建议仅对流量相似的资源执行此操作。有关 Web 的信息ACLs,包括将其用于多种资源的要求,请参阅如何 AWS WAF 运作。
-
启用和配置 Shield Advanced 自动应用层 DDo S 缓解措施 — 启用此功能后,您可以指定是希望 Shield Advanced 自动阻止还是计算其确定为 DDo S 攻击一部分的 Web 请求。Shield Advanced 将规则组添加到关联的 Web ACL 中,并使用它来动态管理其对资源上的 DDo S 攻击的响应。有关规则操作选项的信息,请参阅 在中使用规则操作 AWS WAF。
-
(可选,但推荐)在 Web ACL 中添加基于速率的规则-默认情况下,基于速率的规则可防止任何单个 IP 地址在短时间内发送过多请求,从而为您的资源提供防御 DDo S 攻击的基本保护。有关基于速率的规则(包括自定义请求聚合选项和示例)的信息,请参阅 在中使用基于费率的规则语句 AWS WAF。
在启用自动缓解时发生的情况
启用自动缓解后,Shield Advanced 会执行以下操作:
-
根据需要添加规则组以供 Shield Advanced 使用 — 如果您与资源关联的 AWS WAF Web ACL 还没有专门用于自动缓解应用层 DDo S 的 AWS WAF 规则组规则,Shield Advanced 会添加一条规则组规则。
规则组规则的名称以
ShieldMitigationRuleGroup
开头。规则组始终包含名为的基于速率的规则ShieldKnownOffenderIPRateBasedRule
,该规则限制了来自已知是 DDo S 攻击来源的 IP 地址的请求量。有关 Shield Advanced 规则组和引用它的 Web ACL 规则的其他详细信息,请参阅 使用 Shield Advanced 规则组保护应用程序层。 -
开始响应针对资源 DDo的 S 攻击 — Shield Advanced 会自动响应受保护资源的 DDo S 攻击。除了始终存在的基于速率的规则外,Shield Advanced 还使用其规则组来部署缓解 DDo S 攻击的自定义 AWS WAF 规则。Shield Advanced 会根据您的应用程序和应用程序遇到的攻击量身定制这些规则,并在部署之前根据该资源的历史流量对其进行测试。
Shield Advanced 在您用于自动缓解的任何 Web ACL 中使用单个规则组规则。如果 Shield Advanced 已经为另一个受保护资源添加了规则组,则不会向 Web ACL 添加另一个规则组。
应用层 DDo S 的自动缓解取决于是否存在用于缓解攻击的规则组。如果出于任何原因将规则组从 AWS WAF Web ACL 中删除,则删除规则组将禁用与该 Web ACL 关联的所有资源的自动缓解措施。