编辑 AWS Shield Advanced 保护 - AWS WAF、AWS Firewall Manager 和 AWS Shield Advanced
配置应用程序层 DDoS 保护

编辑 AWS Shield Advanced 保护

您可以随时更改 AWS Shield Advanced 保护的设置。为此,您可以查看所选的保护选项,并修改需要更改的设置。

管理受保护资源

  1. 登录 AWS Management Console,在 https://console.aws.amazon.com/wafv2/ 中打开 AWS WAF 和 Shield 控制台。

  2. 在 AWS Shield 导航窗格中,选择受保护资源

  3. 保护选项卡中,选择要保护资源。

  4. 选择所需的配置保护和资源规格选项。

  5. 浏览每个资源保护选项,根据需要进行更改。

配置应用程序层 DDoS 保护

为了防范对 Amazon CloudFront 和应用程序负载均衡器资源的攻击,您可以添加 AWS WAF Web ACL 和基于速率的规则。有关此问题的信息,请参阅 使用 AWS WAF Web ACL 和 Shield Advanced 保护应用程序层

您还可以启用 Shield Advanced 应用程序层 DDoS 自动缓解配合使用。有关 AWS WAF 工作方式的信息,请参阅AWS WAF。有关自动缓解功能的信息,请参阅 使用 Shield Advanced 自动化应用程序层 DDoS 缓解

重要

如果您通过 AWS Firewall Manager 使用 Shield Advanced 策略来管理 Shield Advanced 保护,则无法在此处管理应用程序层保护。对于所有其他资源,我们建议至少为每个资源关联一个 Web ACL,即使该 Web ACL 不包含任何规则。

注意

当您为资源启用应用程序层 DDoS 自动缓解时,如果需要,该操作会自动向您的账户添加服务相关角色,从而为 Shield Advanced 提供管理 Web ACL 保护所需的权限。有关信息,请参阅使用 Shield Advance 的服务相关角色

配置应用程序层 DDoS 保护

  1. 配置第 7 层 DDoS 保护页面中,如果资源尚未与 Web ACL 关联,则可以选择现有的 Web ACL 或创建自己的网络 ACL。

    要创建 Web ACL,请执行以下操作:

    1. 选择 创建 Web ACL

    2. 输入名称。Web ACL 在创建之后无法更改名称。

    3. 选择创建

    注意

    如果资源已与一个 Web ACL关联,则不能更改为其他 Web ACL。如果要更改 Web ACL,您必须先从资源中删除关联的 Web ACL。有关更多信息,请参阅 将 Web ACL 与 AWS 资源关联或取消关联

  2. 如果 Web ACL 未定义基于速率的规则,则可以选择添加速率限制规则,然后执行以下步骤来添加规则:

    1. 输入名称。

    2. 输入速率限制。这是在对 IP 地址应用基于速率的规则操作之前,在任何 5 分钟内允许来自任何单个 IP 地址的最大请求数。当来自该 IP 地址的请求低于限制时,该操作将停止。

    3. 将规则操作设置为在 IP 地址的请求计数超过限制时对 IP 的请求进行计数或阻止。规则操作的应用和删除可能会在 IP 地址请求速率更改一两分钟后生效。

    4. 选择 添加规则

  3. 对于应用程序层 DDoS 攻击自动缓解,请选择是否希望 Shield Advanced 代表您自动缓解 DDoS 攻击,如下所示:

    • 要启用自动缓解,请选择启用,然后选择希望 Shield Advanced 在其自定义规则中使用的 AWS WAF 规则操作。您的选择是 Count 和 Block。有关这些 AWS WAF 规则操作的信息,请参阅 在 AWS WAF 中使用规则操作。有关 Shield Advanced 如何管理此操作设置的信息,请参阅 Shield Advanced 如何管理规则操作设置

    • 要禁用自动缓解,请选择禁用

    • 要使您管理的资源的自动缓解设置保持不变,请保留默认选项保持当前设置

    有关 Shield Advanced 应用程序层 DDoS 自动缓解的更多信息,请参阅 使用 Shield Advanced 自动化应用程序层 DDoS 缓解

  4. 选择下一步