使用 Shield Advanced 自動化應用程式層DDoS緩解 - AWS WAFAWS Firewall Manager、 和 AWS Shield Advanced
警告

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

使用 Shield Advanced 自動化應用程式層DDoS緩解

此頁面介紹自動應用程式層DDoS緩解的主題,並列出相關聯的警告。

您可以設定 Shield Advanced 來自動回應,透過計算或封鎖屬於攻擊一部分的 Web 請求,來減輕針對受保護應用程式層資源的應用程式層 (第 7 層) 攻擊。此選項是您透過 Shield Advanced 使用 AWS WAF Web ACL和您自己的速率型規則新增的應用程式層保護的附加功能。

為資源啟用自動緩解時,Shield Advanced 會在資源的關聯 Web 中維護規則群組ACL,由其代表資源管理緩解規則。規則群組包含以速率為基礎的規則,可追蹤來自已知為DDoS攻擊來源之 IP 地址的請求量。

此外,Shield Advanced 會將目前的流量模式與歷史流量基準進行比較,以偵測可能表示DDoS攻擊的偏差。Shield Advanced 會透過在規則群組中建立、評估和部署其他自訂 AWS WAF 規則來回應偵測到的DDoS攻擊。

使用自動應用程式層DDoS緩解的注意事項

下列清單說明 Shield Advanced 自動應用程式層DDoS緩解的注意事項,並說明您可能想要採取的步驟。

  • 自動應用程式層DDoS緩解僅適用於使用最新版本 ACLs AWS WAF (v2) 建立的 Web。

  • Shield Advanced 需要一些時間來建立應用程式正常、歷史流量的基準,它利用它來偵測和隔離攻擊流量與正常流量,以緩解攻擊流量。建立基準的時間是自您將 Web ACL與受保護的應用程式資源建立關聯起 24 小時到 30 天之間。如需流量基準的其他資訊,請參閱 使用 Shield Advanced 影響應用程式層事件偵測和緩解的因素清單

  • 啟用自動應用程式層DDoS緩解功能會將規則群組新增至您的 WebACL,該群組使用 150 個 Web ACL容量單位 (WCUs)。這些WCUs計數會與 Web 中的WCU用量相符ACL。如需詳細資訊,請參閱 使用 Shield Advanced 規則群組保護應用程式層中的 Web ACL容量單位 (WCUs) AWS WAF

  • Shield Advanced 規則群組會產生 AWS WAF 指標,但無法檢視。這與您在 Web 中使用的任何其他規則群組相同,ACL但不會擁有,例如 AWS 受管規則規則群組。如需 AWS WAF 指標的詳細資訊,請參閱 AWS WAF 量度和維度。如需此 Shield Advanced 保護選項的相關資訊,請參閱 使用 Shield Advanced 自動化應用程式層DDoS緩解

  • 對於保護多個資源ACLs的 Web,自動緩解只會部署不會對任何受保護資源造成負面影響的自訂緩解。

  • 從開始DDoS攻擊到 Shield Advanced 放置自訂自動緩解規則的時間會隨每個事件而異。有些DDoS攻擊可能會在部署自訂規則之前結束。當緩解措施已準備就緒時,可能會發生其他攻擊,因此從事件開始時,這些規則可能會緩解。此外,Web ACL和 Shield Advanced 規則群組中的速率型規則可能會在偵測到為可能事件之前緩解攻擊流量。

  • 對於透過內容交付網路 (CDN) 接收任何流量的 Application Load Balancer,例如 Amazon CloudFront,Shield Advanced 用於這些 Application Load Balancer 資源的應用程式層自動緩解功能將會減少。Shield Advanced 使用用戶端流量屬性來識別攻擊流量,並將攻擊流量與一般流量隔離至您的應用程式,並且CDNs可能無法保留或轉送原始用戶端流量屬性。如果您使用 CloudFront,建議您在 CloudFront 分佈上啟用自動緩解。

  • 自動應用程式層DDoS緩解不會與保護群組互動。您可以為保護群組中的資源啟用自動緩解,但 Shield Advanced 不會根據保護群組調查結果自動套用攻擊緩解。Shield Advanced 會將自動攻擊緩解套用至個別資源。

內容