本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
使用 AWS WAF Web ACLs和 Shield Advanced 保護應用程式層
本頁說明 AWS WAF Web ACLs和 Shield Advanced 如何共同建立基本應用程式層保護。
若要使用 Shield Advanced 保護應用程式層資源,請先將 Web ACL與 資源建立 AWS WAF 關聯。 AWS WAF 是 Web 應用程式防火牆,可讓您監控轉送至應用程式層資源的 HTTP 和 HTTPS請求,並可讓您根據請求的特性控制對內容的存取。您可以設定 Web ACL 來監控和管理請求,例如請求的來源、查詢字串和 Cookie 的內容,以及來自單一 IP 地址的請求速率等因素。Shield Advanced 保護至少需要您將 Web ACL與速率型規則建立關聯,這會限制每個 IP 地址的請求速率。
如果關聯的 Web ACL未定義以速率為基礎的規則,Shield Advanced 會提示您定義至少一個規則。速率型規則會在超過您定義的閾值IPs時,自動封鎖來自來源的流量。它們有助於保護您的應用程式免受 Web 請求洪水的攻擊,並可在流量突然暴增時發出警示,這些警示可能表示潛在的DDoS攻擊。
注意
以速率為基礎的規則會非常快速地回應規則正在監控的流量激增。因此,以速率為基礎的規則不僅可以防止攻擊,還可以透過 Shield Advanced 偵測來偵測潛在的攻擊。這種權衡有利於防止完全掌握攻擊模式。我們建議您使用以速率為基礎的規則作為防範攻擊的第一道防線。
在 Web ACL 就位的情況下,如果發生DDoS攻擊,您可以透過在 Web 中新增和管理規則來套用緩解措施ACL。您可以在 Shield Response Team (SRT) 的協助下直接執行此操作,或透過自動應用程式層DDoS緩解自動執行此操作。
重要
如果您也使用自動應用程式層DDoS緩解,請參閱 ACL 管理 Web 的最佳實務使用自動應用程式層DDoS緩解的最佳實務。
如需使用 AWS WAF 管理 Web 請求監控和管理規則的相關資訊,請參閱 ACL在中建立網頁 AWS WAF。
