使用 Shield Advanced 規則群組保護應用程式層 - AWS WAFAWS Firewall Manager、 和 AWS Shield Advanced

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

使用 Shield Advanced 規則群組保護應用程式層

此頁面說明 Shield Advanced 規則群組如何在 Web 中運作ACL。

Shield Advanced 會使用規則群組中的規則來管理自動緩解活動,該規則群組會擁有並為您管理。Shield Advanced 參考 規則群組,其中包含您已與受保護資源相關聯的 Web ACL 規則。

Web 中的規則群組規則 ACL

Web 中的 Shield Advanced 規則群組規則ACL具有下列屬性:

  • 名稱ShieldMitigationRuleGroup_account-id_web-acl-id_unique-identifier

  • Web ACL容量單位 (WCU) – 150。這些WCUs計數會與您 Web 中的 WCU 使用量相符ACL。

Shield Advanced 會在您的 Web 中建立此規則ACL,優先順序設定為 10,000,000,因此它會在 Web 中其他規則和規則群組之後執行ACL。 ACL 會從 上的最低數值優先順序設定 AWS WAF 執行 Web 中的規則。在管理 Web 期間ACL,此優先順序設定可能會變更。

除了 Web 中規則群組WCUs使用的 之外,自動緩解功能不會消耗您帳戶中的任何其他 AWS WAF 資源ACL。例如,Shield Advanced 規則群組不會計入您帳戶的規則群組之一。如需 中帳戶限制的相關資訊 AWS WAF,請參閱 AWS WAF 配額

規則群組中的規則

在參考的 Shield Advanced 規則群組中,Shield Advanced 會維護以速率為基礎的規則 ShieldKnownOffenderIPRateBasedRule,這會限制來自已知為DDoS攻擊來源之 IP 地址的請求量。此規則是抵禦任何攻擊的第一道防線,因為它永遠存在於規則群組中,而且不依賴流量模式的分析來控制攻擊。此規則的動作會設定為您為自動緩解選擇的動作,就像規則群組中的其他規則一樣。如需速率型規則的相關資訊,請參閱 使用速率型規則陳述式 AWS WAF

注意

速率型規則ShieldKnownOffenderIPRateBasedRule的運作與 Shield Advanced 事件偵測無關。啟用自動緩解時,此規則速率會限制已知為DDoS攻擊來源的 IP 地址。對於這些 IP 地址,規則的速率限制可以防止攻擊,也可以防止攻擊出現在 Shield Advanced 偵測資訊中。這種權衡有利於防止完全掌握攻擊模式。

除了上述永久速率型規則之外,規則群組還包含 Shield Advanced 目前用來緩解DDoS攻擊的任何規則。Shield Advanced 會視需要新增、修改和移除這些規則。如需相關資訊,請參閱 Shield Advanced 如何管理自動緩解

指標

規則群組會產生 AWS WAF 指標,但由於此規則群組由 Shield Advanced 擁有,因此無法檢視這些指標。如需詳細資訊,請參閱AWS WAF 量度和維度