使用自動應用程式層DDoS緩解的最佳實務

透過 Shield Advanced 管理所有自動緩解保護，或者如果您使用 AWS Firewall Manager 來透過 Firewall Manager 管理 Shield Advanced 自動緩解設定。請勿混合使用 Shield Advanced 和 Firewall Manager 來管理這些保護。

使用相同的 Web ACLs和保護設定管理類似的資源，並使用不同的 Web 管理不同的資源ACLs。當 Shield Advanced 緩解受保護資源的DDoS攻擊時，它會定義與資源相關聯的 Web ACL 規則，然後針對與 Web 相關聯的所有資源流量測試規則ACL。Shield Advanced 只會套用不會對任何相關資源產生負面影響的規則。如需詳細資訊，請參閱Shield Advanced 如何管理自動緩解。

對於透過 Amazon CloudFront 分佈代理其所有網際網路流量的 Application Load Balancer， 只會在 CloudFront分佈上啟用自動緩解。 CloudFront 分佈始終會有最多的原始流量屬性，Shield Advanced 會利用這些屬性來緩解攻擊。

設定受保護資源的運作狀態檢查，並在 Shield Advanced 保護中啟用運作狀態型偵測。如需準則，請參閱透過 Shield Advanced 和 Route 53 使用運作狀態檢查進行運作狀態偵測。

在 中啟用自動緩解 Count 模式，直到 Shield Advanced 建立正常、歷史流量的基準。Shield Advanced 需要 24 小時到 30 天的時間來建立基準。

建立正常流量模式的基準需要下列項目：

如果您需要取代與受保護資源ACL相關聯的 Web，請依序進行下列變更：

Shield Advanced 不會自動將舊 Web 的緩解措施轉移到ACL新 Web。

請勿從您的 Web 刪除名稱開頭ACLs為 的任何規則群組規則ShieldMitigationRuleGroup。如果您確實刪除了此規則群組，則會停用 Shield Advanced 自動緩解對與 Web 相關聯的每個資源提供的保護ACL。此外，可能需要一些時間來接收變更通知並更新其設定。在此期間，Shield Advanced 主控台頁面將提供不正確的資訊。

如需規則群組的詳細資訊，請參閱 使用 Shield Advanced 規則群組保護應用程式層。

請勿修改名稱開頭為 的規則群組規則的名稱ShieldMitigationRuleGroup。這樣做可能會干擾透過 Web 提供的 Shield Advanced 自動緩解提供的保護ACL。

當您建立規則和規則群組時，請勿使用開頭為 的名稱ShieldMitigationRuleGroup。Shield Advanced 使用此字串來管理您的自動緩解。

在管理 Web ACL規則時，請勿指派 10，000，000 的優先順序設定。Shield Advanced 會在新增時將此優先順序設定指派給其自動緩解規則群組規則。

將ShieldMitigationRuleGroup規則保持優先，以便在您希望它與 Web 中的其他規則相關時執行ACL。Shield Advanced 會將規則群組規則新增至優先順序ACL為 10，000，000 的 Web，以便在其他規則之後執行。如果您使用 AWS WAF 主控台精靈來管理 Web ACL，請在將規則新增至 Web 之後視需要調整優先順序設定ACL。

如果您使用 AWS CloudFormation 來管理 Web ACLs，則不需要管理ShieldMitigationRuleGroup規則群組規則。請遵循 的指示使用 AWS CloudFormation 搭配自動應用程式層DDoS緩解。