使用 Shield Advanced 自动DDoS缓解应用层 - AWS WAFAWS Firewall Manager、和 AWS Shield Advanced
警告

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

使用 Shield Advanced 自动DDoS缓解应用层

本页介绍了自动应用层DDoS缓解的主题,并列出了相关的注意事项。

您可以将 Shield Advanced 配置为自动响应,通过计算或阻止作为攻击一部分的 Web 请求来缓解针对受保护应用程序层资源的应用程序层(第 7 层)攻击。此选项是您通过 Shield Advanced 添加的应用层保护的补充,其中包含 AWS WAF 网络ACL和您自己的基于速率的规则。

为资源启用自动缓解后,Shield Advanced 会在资源的关联网络中维护一个规则组,ACL在该组中代表资源管理缓解规则。该规则组包含一个基于速率的规则,用于跟踪来自已知是DDoS攻击源的 IP 地址的请求量。

此外,Shield Advanced 会将当前流量模式与历史流量基线进行比较,以检测可能表示攻击的DDoS偏差。Shield Advanced 通过在规则组中创建、评估和部署其他自定义 AWS WAF 规则来响应检测到的DDoS攻击。

使用自动应用层缓解的注意事项 DDoS

以下列表描述了 Shield Advanced 自动应用层DDoS缓解的注意事项,并描述了您可能需要采取的响应步骤。

  • 自动应用层DDoS缓解仅适用于使用最新版本 AWS WAF (v2) 创建的 Web ACLs。

  • Shield Advanced 需要时间来建立应用程序的正常、历史流量的基准,它利用该基准来检测攻击流量并将其与正常流量隔离开来,从而缓解攻击流量。从将 Web ACL 与受保护的应用程序资源关联起,建立基准的时间介于 24 小时到 30 天之间。有关流量基线的更多信息,请参阅使用 Shield Advanced 影响应用层事件检测和缓解的因素清单

  • 启用自动应用层DDoS缓解会将一个使用 150 个 Web ACL 容量单位ACL的规则组添加到您的 Web 中(WCUs)。这些都WCUs与您网络中的WCU使用量相提并论ACL。有关更多信息,请参阅 使用 Shield Advanced 规则组保护应用层了解中的 Web ACL 容量单位 (WCUs) AWS WAF

  • Shield 高级规则组生成 AWS WAF 指标,但无法查看。这与您在网络中使用ACL但不拥有的任何其他规则组相同,例如 AWS 托管规则规则组。有关 AWS WAF 指标的更多信息,请参阅AWS WAF 指标和维度。有关此 Shield 高级保护选项的信息,请参阅使用 Shield Advanced 自动DDoS缓解应用层

  • 对于保护多个资源的网络ACLs,自动缓解仅部署不会对任何受保护资源产生负面影响的自定义缓解措施。

  • 从DDoS攻击开始到 Shield Advanced 放置自定义自动缓解规则的时间因每个事件而异。有些DDoS攻击可能会在部署自定义规则之前结束。当缓解措施已经到位时,可能会发生其他攻击,因此可能会从该事件开始就通过这些规则来缓解。此外,Web ACL 和 Shield Advanced 规则组中基于速率的规则可能会在攻击流量被检测为可能的事件之前对其进行缓解。

  • 对于通过内容交付网络 (CDN)(例如 Amazon CloudFront)接收任何流量的应用程序负载均衡器,Shield Advanced 针对这些应用程序负载均衡器资源的应用程序层自动缓解能力将降低。Shield Advanced 使用客户端流量属性来识别攻击流量并将其与普通流量隔离到您的应用程序,并且CDNs可能不会保留或转发原始客户端流量属性。如果您使用 CloudFront,我们建议您在 CloudFront 发行版上启用自动缓解功能。

  • 自动应用层DDoS缓解不会与保护组交互。您可以为保护组中的资源启用自动缓解,但是 Shield Advanced 不会根据保护组的调查发现自动应用攻击缓解措施。Shield Advanced 会对单个资源进行自动攻击缓解。

目录