将应用层 DDoS 自动缓解与 Firewall Manager Shield Advanced 策略搭配使用 - AWS WAFAWS Firewall Manager、和 AWS Shield Advanced
自动缓解配置将 AWS WAF Classic Web ACL 替换为 v2 Web ACL

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

将应用层 DDoS 自动缓解与 Firewall Manager Shield Advanced 策略搭配使用

本页介绍了应用程序层 DDoS 自动缓解如何与 Firewall Manager 协同工作。

当您将 Shield Advanced 策略应用于 Amazon CloudFront 分配或应用程序负载均衡器时,您可以选择在策略中配置 Shield Advanced 应用程序层 DDoS 自动缓解。

有关 Shield Advanced 自动缓解的信息,请参阅 使用 Shield Advanced 自动化应用程序层 DDoS 缓解

Shield Advanced 应用程序层 DDoS 自动缓解具有以下要求:

  • 应用程序层 DDoS 自动缓解仅适用于 Amazon CloudFront 分配和应用程序负载均衡器。

    如果将您的 Shield Advanced 策略应用于 Amazon CloudFront 分配,则可以为针对全球区域创建的 Shield Advanced 策略选择此选项。如果对应用程序负载均衡器应用保护,则可以将该策略应用于 Firewall Manager 支持的任何区域。

  • 应用程序层 DDoS 自动缓解仅适用于使用最新版本 AWS WAF (v2) 创建的 Web ACL。

    因此,如果您的策略使用 AWS WAF Classic Web ACL,则需要将该策略替换为自动使用最新版本 AWS WAF 的新策略,或者让 Firewall Manager 为您的现有策略创建新版本的 Web ACL,然后切换到使用这些 Web ACL。有关选项的更多信息,请参阅将 AWS WAF Classic Web ACL 替换为最新版本的 Web ACL

自动缓解配置

Firewall Manager Shield Advanced 策略的应用程序层 DDoS 自动缓解选项将 Shield Advanced 自动缓解功能应用于您的策略范围内的账户和资源。有关 Shield Advanced 功能的详细信息,请参阅 使用 Shield Advanced 自动化应用程序层 DDoS 缓解

您可以选择让 Firewall Manager 为策略范围内的 CloudFront 分配或应用程序负载均衡器启用或禁用自动缓解,也可以选择让策略忽略 Shield Advanced 自动缓解设置:

  • 启用 – 如果您选择启用自动缓解,则还需要设定缓解 Shield Advanced 规则应计算还是应阻止匹配的 Web 请求。如果范围内的资源未启用自动缓解功能,或者使用的规则操作与您为策略指定的规则操作不匹配,则 Firewall Manager 会将其标记为不合规。如果将策略配置为自动修正,则 Firewall Manager 会根据需要更新不合规资源。

  • 禁用 – 如果您选择禁用自动缓解,则 Firewall Manager 会将范围内的资源标记为不合规,但前提是这些资源启用了自动缓解。如果将策略配置为自动修正,则 Firewall Manager 会根据需要更新不合规资源。

  • 忽略 – 如果您选择忽略自动缓解,则 Firewall Manager 在为该策略执行修正活动时不会考虑该策略中的任何自动缓解设置。此设置允许您通过 Shield Advanced 控制自动缓解,无需让 Firewall Manager 覆盖这些设置。此设置不适用于通过 Shield Advanced 管理的任何经典负载均衡器或弹性 IP 资源,因为 Shield Advanced 目前不支持这些资源的 L7 自动缓解。

将 AWS WAF Classic Web ACL 替换为最新版本的 Web ACL

应用程序层 DDoS 自动缓解仅适用于使用最新版本 AWS WAF (v2) 创建的 Web ACL。

要确定您的 Shield Advanced 策略的 Web ACL 版本,请参阅 确定 Shield Advanced 策略使用的 AWS WAF 版本

如果您想在 Shield Advanced 策略中使用自动缓解,并且您的策略目前使用 AWS WAF Classic Web ACL,则可以创建一个新的 Shield Advanced 策略来替换当前的 Shield Advanced 策略,也可以使用本节中描述的选项将早期版本的 Web ACL 替换为当前 Shield Advanced 策略中的新 (v2) Web ACL。新策略始终使用最新版本的 AWS WAF 创建 Web ACL。如果您替换了整个策略,则在删除策略时,也可以让 Firewall Manager 删除所有早期版本的 Web ACL。本节的其余部分将介绍替换现有策略中的 Web ACL 的选项。

当您修改 Amazon CloudFront 资源的现有 Shield Advanced 策略时,Firewall Manager 可以在任何尚未拥有 v2 Web ACL 的范围内账户中自动为该策略新建一个空的 AWS WAF (v2) Web ACL。当 Firewall Manager 创建新的 Web ACL 时,如果该策略在同一账户中已有 AWS WAF Classic Web ACL,Firewall Manager 会使用与现有 Web ACL 相同的默认操作设置来配置新版本的 Web ACL。如果现有 AWS WAF Classic Web ACL 不存在,Firewall Manager 会在新 Web ACL 中将默认操作设置为 Allow。Firewall Manager 创建新的 Web ACL 后,您可以根据需要通过 AWS WAF 控制台对其进行自定义。

当您选择以下任何策略配置选项时,Firewall Manager 会为尚未拥有新 (v2) Web ACL 的范围内账户创建新的 (v2) Web ACL:

  • 当您启用或禁用应用程序层 DDoS 自动缓解时。如果仅选择此选项,则 Firewall Manager 只会创建新的 Web ACL,而不会替换策略范围内资源上的任何现有 AWS WAF Classic Web ACL 关联。

  • 当您选择自动修正的策略操作并选择将 AWS WAF Classic Web ACL 替换为 AWS WAF (v2) Web ACL 的选项时。无论您选择哪种配置,您都可以选择替换早期版本的 Web ACL,以实现应用程序层 DDoS 自动缓解。

    选择替换选项时,Firewall Manager 会根据需要创建新版本的 Web ACL,然后为策略的范围内资源执行以下操作:

    • 如果某个资源与任何其他活动的 Firewall Manager 策略中的 Web ACL 关联,则 Firewall Manager 不会对其进行关联。

    • 对于任何其他情况,Firewall Manager 都会删除与 AWS WAF Classic Web ACL 的任何关联,并将该资源与策略的 AWS WAF (v2) Web ACL 相关联。

您可以根据需要选择让 Firewall Manager 以新版本的 Web ACL 替换早期版本的 Web ACL。如果您之前已自定义策略的 AWS WAF Classic Web ACL,则在选择让 Firewall Manager 执行替换步骤之前,可以将新版本的 Web ACL 更新为类似设置。

您可以通过适用于 AWS WAF 或 AWS WAF Classic 的相同版本控制台访问策略的任一版本 Web ACL。

在您删除策略本身之前,Firewall Manager 不会删除任何替换的 AWS WAF Classic Web ACL。在该策略不再使用 AWS WAF Classic Web ACL 之后,您可以根据需要将其删除。