设置 AWS Firewall ManagerAWS Shield Advanced 策略 - AWS WAFAWS Firewall Manager、和 AWS Shield Advanced
步骤 1:完成先决条件步骤 2:创建并应用 Shield Advanced 策略步骤 3:(可选)授权 Shield 响应小组()SRT第 4 步:配置亚马逊SNS通知和亚马逊 CloudWatch 警报

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

设置 AWS Firewall ManagerAWS Shield Advanced 策略

您可以使用 AWS Firewall Manager 在整个组织中启用 AWS Shield Advanced 保护。

重要

Firewall Manager 不支持 Amazon Route 53 或 AWS Global Accelerator。如果您需要使用 Shield Advanced 保护这些资源,则不能使用 Firewall Manager 策略。而是应按照向 AWS 资源添加 AWS Shield Advanced 保护中的说明操作。

要使用 Firewall Manager 来启用 Shield Advanced 保护,请按顺序执行以下步骤。

步骤 1:完成先决条件

为 AWS Firewall Manager准备您的账户有几个必要步骤。AWS Firewall Manager先决条件中介绍了这些步骤。在继续执行步骤 2:创建并应用 Shield Advanced 策略之前,请完成所有先决条件。

步骤 2:创建并应用 Shield Advanced 策略

完成先决条件后,您可以创建 AWS Firewall Manager Shield Advanced 策略。Firewall Manager Shield Advanced 策略包含您要使用 Shield Advanced 保护的账户和资源。

重要

Firewall Manager 不支持 Amazon Route 53 或 AWS Global Accelerator。如果您需要使用 Shield Advanced 保护这些资源,则不能使用 Firewall Manager 策略。而是应按照向 AWS 资源添加 AWS Shield Advanced 保护中的说明操作。

创建 Firewall Manager Shield Advanced 策略(控制台)

  1. AWS Management Console 使用您的 Firewall Manager 管理员帐户登录,然后打开防火墙管理器控制台,网址为https://console.aws.amazon.com/wafv2/fmsv2。有关设置 Firewall Manager 管理员账户的信息,请参阅AWS Firewall Manager先决条件

    注意

    有关设置 Firewall Manager 管理员账户的信息,请参阅AWS Firewall Manager先决条件

  2. 在导航窗格中,选择 安全策略

  3. 选择创建策略

  4. 对于策略类型,选择 Shield Advanced

    要创建 Shield Advanced 策略,您的 Firewall Manager 必须订阅 Shield Advanced。如果您尚未订阅,则会提示您订阅。有关订阅成本的更多信息,请参阅 AWS Shield Advanced 定价

    注意

    您无需为每个会员账户手动订阅 Shield Advanced。Firewall Manager 在创建策略时会为您执行此操作。每个账户都必须继续订阅 Firewall Manager 和 Shield Advanced,才能继续保护账户中的资源。

  5. 对于区域,选择一个 AWS 区域。要保护 Amazon CloudFront 资源,请选择 “全球”。

    要保护多个区域中的资源( CloudFront 资源除外),必须为每个区域创建单独的 Firewall Manager 策略。

  6. 选择下一步

  7. 对于名称,请键入策略的描述性名称。

  8. (仅限全球区域)对于全球区域策略,您可以选择是否要管理 Shield Advanced 自动应用层DDoS缓解。在本教程中,将此选项保留为默认设置忽略

  9. 对于策略操作,请选择不会自动修复的选项。

  10. 选择下一步

  11. AWS 账户 本政策适用于允许您通过指定要包含或排除的账户来缩小策略的范围。对于本教程,选择 包括我的组织下的所有账户

  12. 选择要保护的资源的类型。

    Firewall Manager 不支持 Amazon Route 53 或 AWS Global Accelerator。如果您需要使用 Shield Advanced 保护这些资源,则不能使用 Firewall Manager 策略。否则,请按照 向 AWS 资源添加 AWS Shield Advanced 保护 提供的 Shield Advanced 的指导进行操作。

  13. 对于资源,可以使用标签来缩小策略的范围,您可以包括或排除带有所指定标签的资源。您可以使用“包含”或“排除”,但两者不能同时使用。有关用于定义策略范围的标签的更多信息,请参阅使用 AWS Firewall Manager 策略范围

    资源标签只能有非空值。如果忽略标签的值,Firewall Manager 会使用以下空字符串值保存标签:“”。资源标签仅与具有相同键和相同值的标签匹配。

  14. 选择下一步

  15. 对于策略标签,请添加要添加至 Firewall Manager 策略资源的任何标识标签。有关标签的更多信息,请参阅使用标签编辑器

  16. 选择下一步

  17. 查看新的政策设置,然后返回需要进行任何调整的页面。

    进行检查以确保 策略操作 设置为 确定不符合策略规则的资源,但不自动修复。这样,您就可以在启用更改之前查看策略要做出的更改。

  18. 若您满意所创建的策略,请选择 创建策略

    AWS Firewall Manager 策略窗格下应列出您的策略。它可能会在账户标题下指示待处理,并指示自动修复设置的状态。策略的创建可能需要几分钟的时间。当 待处理 状态替换为账户计数时,您可以选择策略名称来探索账户和资源的合规状态。有关信息,请参阅。查看 AWS Firewall Manager 策略的合规性信息

继续步骤 3:(可选)授权 Shield 响应小组()SRT

步骤 3:(可选)授权 Shield 响应小组()SRT

的好处之一 AWS Shield Advanced 是 Shield 响应小组的支持 (SRT)。当你遇到潜在的DDoS攻击时,你可以联系AWS 支持 中心。如有必要,Support Center 会将您的问题上报给。SRT可SRT帮助您分析可疑活动并帮助您缓解问题。这种缓解措施通常涉及ACLs在您的账户中创建或更新 AWS WAF 规则和网站。他们SRT可以检查您的 AWS WAF 配置并ACLs为您创建或更新 AWS WAF 规则和网站,但团队需要您的授权才能这样做。我们建议在设置过程中 AWS Shield Advanced,主动为其SRT提供所需的授权。提前提供授权有助于防止在实际发生攻击时耽误问题的解决。

您授权并联系账户级别。SRT也就是说,账户所有者,而不是 Firewall Manager 管理员,必须执行以下步骤才能授权缓解潜在的SRT攻击。Firewall Manager 管理员SRT只能对自己拥有的帐户进行授权。同样,只有账户所有者才能联系以SRT寻求支持。

注意

要使用的服务SRT,您必须订阅商业支持计划企业支持计划

要授权代表SRT您缓解潜在的攻击,请按照中的说明进行操作支持 Shield 响应小组 (SRT) 的托管 DDoS 事件响应。您可以使用相同的步骤随时更改SRT访问权限和权限。

继续第 4 步:配置亚马逊SNS通知和亚马逊 CloudWatch 警报

第 4 步:配置亚马逊SNS通知和亚马逊 CloudWatch 警报

无需配置 Amazon SNS 通知或 CloudWatch 警报,即可继续执行此步骤。但是,配置这些警报和通知可以显著提高您对可能DDoS发生的事件的可见性。

您可以使用 Amazon 监控受保护的资源是否存在潜在DDoS活动SNS。要接收有关可能的攻击的通知,请为每个区域创建一个 Amazon SNS 主题。

重要

Amazon 的潜在DDoS活动SNS通知不是实时发送的,可能会延迟。要启用潜在DDoS活动的实时通知,您可以使用 CloudWatch 警报。警报必须基于受保护资源所在账户的 DDoSDetected 指标。

在 Firewall Manager(控制台)中创建亚马逊SNS主题

  1. AWS Management Console 使用您的 Firewall Manager 管理员帐户登录,然后打开防火墙管理器控制台,网址为https://console.aws.amazon.com/wafv2/fmsv2。有关设置 Firewall Manager 管理员账户的信息,请参阅AWS Firewall Manager先决条件

    注意

    有关设置 Firewall Manager 管理员账户的信息,请参阅AWS Firewall Manager先决条件

  2. 在导航窗格中 AWS FMS,选择设置

  3. 选择 创建新主题

  4. 输入主题名称。

  5. 输入 Amazon SNS 消息将发送到的电子邮件地址,然后选择 “添加电子邮件地址”。

  6. 选择更新SNS配置

配置 Amazon CloudWatch 警报

Shield Advanced 记录了您可以监控的检测、缓解和主要贡献者指标。 CloudWatch 有关更多信息,请参阅AWS Shield Advanced 指标。 CloudWatch 会产生额外费用。有关 CloudWatch 定价,请参阅 Amazon CloudWatch 定价

要创建 CloudWatch 警报,请按照使用 Amazon CloudWatch 警报中的说明进行操作。默认情况下,Shield Advanced 配置 CloudWatch 为在DDoS出现潜在事件的一个指标后提醒你。如果需要,您可以使用 CloudWatch 控制台来更改此设置,以便在检测到多个提示信号时再通知您。

注意

除了警报外,您还可以使用 CloudWatch 仪表板来监控潜在DDoS的活动。此控制面板可从 CloudWatch 收集原始数据,并将数据处理为易读的近乎实时的指标。您可以使用 Amazon 中的统计数据 CloudWatch 来了解您的 Web 应用程序或服务的性能。有关更多信息,请参阅《Amazon CloudWatch 用户指南》 CloudWatch中的内容

有关创建 CloudWatch 仪表板的说明,请参阅使用 Amazon CloudWatch 监控。有关您可以添加到控制面板的 Shield Advanced 指标的信息,请参阅 AWS Shield Advanced 指标

完成 Shield Advanced 配置后,请熟悉在 使用 Shield Advanced 查看DDoS事件 查看事件的选项。