搭配 Firewall Manager Shield Advanced 政策使用自動應用程式層 DDoS 緩解 - AWS WAFAWS Firewall Manager、 和 AWS Shield Advanced
自動緩解組態將 AWS WAF Classic Web ACLs 取代為 v2 Web ACLs

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

搭配 Firewall Manager Shield Advanced 政策使用自動應用程式層 DDoS 緩解

此頁面說明自動應用程式層 DDoS 緩解如何與 Firewall Manager 搭配使用。

當您將 Shield Advanced 政策套用至 Amazon CloudFront 分佈或 Application Load Balancer 時,您可以選擇在政策中設定 Shield Advanced 自動應用程式層 DDoS 緩解措施。

如需 Shield Advanced 自動緩解的資訊,請參閱 使用 Shield Advanced 自動化應用程式層 DDoS 緩解

Shield Advanced 自動應用程式層 DDoS 緩解具有下列要求:

  • 自動應用程式層 DDoS 緩解僅適用於 Amazon CloudFront 分佈和 Application Load Balancer。

    如果將 Shield Advanced 政策套用到 Amazon CloudFront 分佈,您可以選擇此選項,用於您為全球區域建立的 Shield Advanced 政策。如果將保護套用至 Application Load Balancer,您可以將政策套用至 Firewall Manager 支援的任何區域。

  • 自動應用程式層 DDoS 緩解僅適用於使用最新版本 AWS WAF (v2) 建立的 Web ACLs。

    因此,如果您的政策使用 AWS WAF Classic Web ACLs,您需要將政策取代為新政策,這會自動使用最新版本的 AWS WAF,或讓 Firewall Manager 為您現有的政策建立新的版本 Web ACLs,並切換到使用它們。如需選項的詳細資訊,請參閱 將 AWS WAF Classic Web ACLs取代為最新版本ACLs

自動緩解組態

Firewall Manager Shield Advanced 政策的自動應用程式層 DDoS 緩解選項會將 Shield Advanced 自動緩解功能套用至政策的範圍內帳戶和資源。如需此 Shield Advanced 功能的詳細資訊,請參閱 使用 Shield Advanced 自動化應用程式層 DDoS 緩解

您可以選擇讓 Firewall Manager 為政策範圍內的 CloudFront 分佈或 Application Load Balancer 啟用或停用自動緩解,也可以選擇讓政策忽略 Shield Advanced 自動緩解設定:

  • 啟用 – 如果您選擇啟用自動緩解,您也可以指定緩解 Shield Advanced 規則是否應計數或封鎖相符的 Web 請求。如果範圍內的資源未啟用自動緩解,或者正在使用的規則動作與您為政策指定的規則動作不相符,則 Firewall Manager 會將它們標記為不合規。如果您設定 政策進行自動修復,防火牆管理員會視需要更新不合規的資源。

  • 停用 – 如果您選擇停用自動緩解,則防火牆管理員會在啟用自動緩解時,將範圍內資源標記為不合規。如果您設定 政策進行自動修復,防火牆管理員會視需要更新不合規的資源。

  • 忽略 – 如果您選擇忽略自動緩解,則 Firewall Manager 在為政策執行修補活動時,不會考慮 Shield 政策中的任何自動緩解設定。此設定可讓您透過 Shield Advanced 控制自動緩解,而防火牆管理員不會覆寫這些設定。此設定不適用於透過 Shield Advanced 管理的任何 Classic Load Balancer 或彈性 IPs 資源,因為 Shield Advanced 目前不支援 L7 自動緩解這些資源。

將 AWS WAF Classic Web ACLs取代為最新版本ACLs

自動應用程式層 DDoS 緩解僅適用於使用最新版本 AWS WAF (v2) 建立的 Web ACLs。

若要判斷 Shield Advanced 政策的 Web ACL 版本,請參閱 判斷 Shield Advanced 政策 AWS WAF 使用的 版本

如果您想要在 Shield Advanced 政策中使用自動緩解,且您的政策目前使用 AWS WAF Classic Web ACLs,您可以建立新的 Shield Advanced 政策來取代目前的政策,或者您可以使用本節所述的選項,將舊版 Web ACLs 取代為目前 Shield Advanced 政策中的新 (v2) Web ACLs。新政策一律使用最新版本的 建立 Web ACLs AWS WAF。如果您取代整個政策,當您刪除它時,也可以讓 Firewall Manager 刪除所有較早版本的 Web ACLs。本節的其餘部分說明取代現有政策中 Web ACLs的選項。

當您修改 Amazon CloudFront 資源的現有 Shield Advanced 政策時,防火牆管理員可以在尚未擁有 v2 Web ACL 的任何範圍內帳戶中,自動為政策建立新的 empty AWS WAF (v2) Web ACL。當 Firewall Manager 建立新的 Web ACL 時,如果政策在相同帳戶中已有 AWS WAF Classic Web ACL,則 Firewall Manager 會使用與現有 Web ACL 相同的預設動作設定來設定新版本 Web ACL。如果沒有現有的 AWS WAF Classic Web ACL,防火牆管理員會在新的 Web ACL Allow 中將預設動作設為 。Firewall Manager 建立新的 Web ACL 之後,您可以透過主控台視需要 AWS WAF 自訂它。

當您選擇下列任一政策組態選項時,Fire Firewall Manager 會為尚未擁有這些選項的範圍內帳戶建立新的 (v2) Web ACLs:

  • 當您啟用或停用自動應用程式層 DDoS 緩解時。此選項只會導致 Firewall Manager 建立新的 Web ACLs,而不是取代政策範圍內資源上任何現有的 AWS WAF Classic Web ACL 關聯。

  • 當您選擇自動修復的政策動作,並選擇將 AWS WAF Classic Web ACLs取代為 AWS WAF (v2) Web ACLs的選項。無論您的自動應用程式層 DDoS 緩解的組態選擇為何,您都可以選擇取代舊版 Web ACLs。

    當您選擇取代選項時,Fire Firewall Manager 會視需要建立新的 Web ACLs 版本,然後針對政策的範圍內資源執行下列動作:

    • 如果資源與任何其他作用中 Firewall Manager 政策的 Web ACL 相關聯,則 Firewall Manager 會單獨保留關聯。

    • 對於任何其他情況, Firewall Manager 會移除與 AWS WAF Classic Web ACL 的任何關聯,並將資源與政策的 AWS WAF (v2) Web ACL 建立關聯。

您可以選擇讓 Firewall Manager 在需要時將舊版 Web ACLs 取代為新版本 Web ACLs。如果您先前已自訂政策的 AWS WAF Classic Web ACLs,您可以在選擇讓 Firewall Manager 執行取代步驟之前,將新版本的 Web ACLs 更新為相當的設定。

您可以透過適用於 的相同版本主控台 AWS WAF 或 AWS WAF Classic 存取政策的 Web ACL 版本。

除非您刪除政策本身,否則 Firewall Manager 不會刪除任何已取代的 AWS WAF Classic Web ACLs。在政策不再使用 AWS WAF Classic Web ACLs之後,您可以視需要刪除它們。