使用 Shield Advanced 自动化应用程序层 DDoS 缓解 - AWS WAFAWS Firewall Manager、和 AWS Shield Advanced
警告

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

使用 Shield Advanced 自动化应用程序层 DDoS 缓解

本页提供了应用程序层 DDoS 自动缓解的主题,并列出了相关的注意事项。

您可以将 Shield Advanced 配置为自动响应,通过计算或阻止作为攻击一部分的 Web 请求来缓解针对受保护应用程序层资源的应用程序层(第 7 层)攻击。此选项是您通过 Shield Advanced 添加的应用程序层保护的补充,该保护包含 AWS WAF Web ACL 和您自己的基于速率的规则。

当为资源启用自动缓解时,Shield Advanced 会在资源的关联 Web ACL 中维护一个规则组,在这里,它代表资源管理缓解规则。该规则组包含一个基于速率的规则,用于跟踪来自已知为 DDoS 攻击来源的 IP 地址的请求量。

此外,Shield Advanced 将当前流量模式与历史流量基线进行比较,以检测可能表明 DDoS 攻击的偏差。Shield Advanced 通过在规则组中创建、评估和部署其他自定义 AWS WAF 规则来响应检测到的 DDoS 攻击。

使用应用程序层 DDoS 自动缓解的注意事项

以下列表描述了 Shield Advanced 应用程序层 DDoS 自动缓解的注意事项,并描述了您可能需要采取的应对措施。

  • 应用程序层 DDoS 自动缓解仅适用于使用最新版本 AWS WAF (v2) 创建的 Web ACL。

  • Shield Advanced 需要时间为应用程序建立正常历史流量基准,并利用该基准来检测攻击流量并将其与正常流量隔离,从而缓解攻击流量。建立基准的时间介于 24 小时到 30 天之间,从将 Web ACL 与受保护的应用程序资源关联时算起。有关流量基准的其他信息,请参阅 使用影响 Shield Advanced 检测和缓解应用程序层事件的因素清单

  • 启用应用程序层 DDoS 自动缓解会向使用 150 个 Web ACL 容量单位 (WCU) 的 Web ACL 中添加一个规则组。这些 WCU 会计入您的 Web ACL 中的 WCU 使用量。有关更多信息,请参阅 使用 Shield Advanced 规则组保护应用程序层Web ACL 容量单位 (WCUs) 英寸 AWS WAF

  • Shield Advanced 规则组生成 AWS WAF 指标,但无法查看。这与您在 Web ACL 中使用但不拥有的其他任何规则组相同,例如 AWS 托管规则的规则组。有关 AWS WAF 指标的更多信息,请参阅AWS WAF 指标和维度。有关该 Shield Advanced 保护选项的信息,请参阅 使用 Shield Advanced 自动化应用程序层 DDoS 缓解

  • 对于保护多个资源的 Web ACL,自动缓解仅部署不会对任何受保护资源产生负面影响的自定义缓解措施。

  • 从 DDoS 攻击开始到 Shield Advanced 放置自定义自动缓解规则的时间间隔因每个事件而异。某些 DDoS 攻击可能会在部署自定义规则之前结束。当缓解措施已经到位时,可能会发生其他攻击,因此可能会从该事件开始就通过这些规则来缓解。此外,Web ACL 和 Shield Advanced 规则组中基于速率的规则可以在攻击流量作为可能的事件进行检测之前对其进行缓解。

  • 针对通过内容分发网络(CDN)(例如 Amazon CloudFront)接收任何流量的应用程序负载均衡器,Shield Advanced 的应用程序层自动缓解能力将降低。Shield Advanced 使用客户端流量属性来识别攻击流量并将其从正常流量中隔离到您的应用程序,而 CDN 可能不会保留或转发原始客户端流量属性。如果您使用 CloudFront,我们建议您在 CloudFront 分配上启用自动缓解功能。

  • 应用程序层 DDoS 自动缓解不会与保护组交互。您可以为保护组中的资源启用自动缓解,但是 Shield Advanced 不会根据保护组的调查发现自动应用攻击缓解措施。Shield Advanced 会对单个资源进行自动攻击缓解。

目录