搭配 Firewall Manager Shield Advanced 政策使用自動應用程式層DDoS緩解 - AWS WAFAWS Firewall Manager、 和 AWS Shield Advanced
自動緩解組態將 AWS WAF Classic Web 取代ACLs為 v2 Web ACLs

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

搭配 Firewall Manager Shield Advanced 政策使用自動應用程式層DDoS緩解

本頁說明自動應用程式層DDoS緩解如何與 Firewall Manager 搭配使用。

當您將 Shield Advanced 政策套用至 Amazon CloudFront 分佈或 Application Load Balancer 時,您可以選擇在政策中設定 Shield Advanced 自動應用程式層DDoS緩解。

如需有關 Shield Advanced 自動緩解的資訊,請參閱 使用 Shield Advanced 自動化應用程式層DDoS緩解

Shield Advanced 自動應用程式層DDoS緩解具有下列要求:

  • 自動應用程式層DDoS緩解僅適用於 Amazon CloudFront 分佈和 Application Load Balancer。

    如果將 Shield Advanced 政策套用到 Amazon CloudFront 分佈,您可以選擇此選項,作為您為全球區域建立的 Shield Advanced 政策。如果將保護套用至 Application Load Balancer,您可以將政策套用至 Firewall Manager 支援的任何區域。

  • 自動應用程式層DDoS緩解僅適用於使用最新版本 ACLs AWS WAF (v2) 建立的 Web。

    因此,如果您的政策使用 AWS WAF Classic Web ACLs,您需要使用新政策取代政策,該政策會自動使用最新版本的 AWS WAF,或讓 Firewall Manager ACLs 為現有政策建立新的版本 Web,並切換到使用它們。如需選項的詳細資訊,請參閱 將 AWS WAF Classic Web 取代ACLs為最新版本 Web ACLs

自動緩解組態

Firewall Manager Shield Advanced 政策的自動應用程式層DDoS緩解選項會將 Shield Advanced 自動緩解功能套用至政策的範圍內帳戶和資源。如需此 Shield Advanced 功能的詳細資訊,請參閱 使用 Shield Advanced 自動化應用程式層DDoS緩解

您可以選擇讓 Firewall Manager 為 CloudFront政策範圍內的分佈或 Application Load Balancer 啟用或停用自動緩解,也可以選擇讓政策忽略 Shield Advanced 自動緩解設定:

  • 啟用 – 如果您選擇啟用自動緩解,您也可以指定緩解 Shield Advanced 規則是否應計算或封鎖相符的 Web 請求。如果範圍內資源未啟用自動緩解,或者正在使用不符合您為政策指定的規則動作,則 Firewall Manager 會將它們標記為不合規。如果您設定 政策進行自動修復,Firster Manager 會視需要更新不合規的資源。

  • 停用 – 如果您選擇停用自動緩解,則 Firewall Manager 會在啟用自動緩解時,將範圍內資源標記為不合規。如果您設定 政策進行自動修復,Firster Manager 會視需要更新不合規的資源。

  • 忽略 – 如果您選擇忽略自動緩解,則 Firewall Manager 在執行政策的修復活動時,不會考慮 Shield 政策中的任何自動緩解設定。此設定可讓您透過 Shield Advanced 控制自動緩解,而不需要 Firewall Manager 覆寫這些設定。此設定不適用於透過 Shield Advanced 管理的任何 Classic Load Balancer 或彈性IPs資源,因為 Shield Advanced 目前不支援 L7 自動緩解這些資源。

將 AWS WAF Classic Web 取代ACLs為最新版本 Web ACLs

自動應用程式層DDoS緩解僅適用於使用最新版本 ACLs AWS WAF (v2) 建立的 Web。

若要判斷 Shield Advanced 政策的 Web ACL版本,請參閱 判斷 Shield Advanced 政策 AWS WAF 使用的 版本

如果您想要在 Shield Advanced 政策中使用自動緩解,且您的政策目前使用 AWS WAF Classic Web ACLs,您可以建立新的 Shield Advanced 政策來取代目前的政策,或者您可以使用本節所述的選項,將舊版 Web 取代ACLs為目前 Shield Advanced 政策ACLs內的新 (v2) Web。新政策一律ACLs使用最新版本的 建立 Web AWS WAF。如果您取代整個政策,則在刪除時,您也可以讓 Firewall Manager 刪除所有較早版本 WebACLs。本節的其餘部分說明了在現有政策ACLs中取代 Web 的選項。

當您修改 Amazon CloudFront 資源的現有 Shield Advanced 政策時, Firewall Manager 可以在尚未擁有 v2 Web 的任何範圍內帳戶中,自動ACL為政策建立新的空白 AWS WAF (v2) WebACL。當 Firewall Manager 建立新的 Web 時ACL,如果政策ACL在相同帳戶中已有 AWS WAF Classic Web,則 Firewall Manager 會使用ACL與現有 Web 相同的預設動作設定來設定新版本 WebACL。如果沒有現有的 AWS WAF Classic Web ACL,則 Firewall Manager 會將預設動作設定為 Allow 在新的 Web 中ACL。Firewall Manager 建立新的 Web 後ACL,您可以透過主控台視需要 AWS WAF 加以自訂。

當您選擇下列任一政策組態選項時,Firrate Manager 會ACLs為尚未擁有這些設定的範圍內帳戶建立新的 (v2) Web:

  • 當您啟用或停用自動應用程式層DDoS緩解時。僅此選擇會導致 Firewall Manager 建立新的 Web ACLs,而不是取代政策範圍內資源上任何現有的 AWS WAF Classic Web ACL關聯。

  • 當您選擇自動修復的政策動作,並選擇將 AWS WAF Classic Web 取代ACLs為 AWS WAF (v2) Web 的選項ACLs。無論您的自動應用程式層DDoS緩解組態選擇ACLs為何,都可以選擇取代舊版 Web。

    當您選擇取代選項時,Firester Manager ACLs會視需要建立新的版本 Web,然後針對政策的範圍內資源執行下列動作:

    • 如果資源與來自ACL任何其他作用中 Firewall Manager 政策的 Web 相關聯,則 Firewall Manager 會單獨保留關聯。

    • 對於任何其他情況,Firster Manager 會移除與 AWS WAF Classic Web 的任何關聯,ACL並將資源與政策的 AWS WAF (v2) Web 建立關聯ACL。

您可以選擇讓 Firewall Manager ACLs在需要時ACLs將舊版 Web 取代為新版本 Web。如果您先前已自訂政策的 AWS WAF Classic Web ACLs,您可以在選擇讓 Firewall Manager 執行取代步驟之前,將新版本 Web 更新ACLs為可比較的設定。

您可以透過ACL適用於 的相同版本主控台 AWS WAF 或 AWS WAF Classic 存取政策的 Web 版本。

在您刪除政策本身ACLs之前,防火牆管理員不會刪除任何已取代的 AWS WAF Classic Web。在政策ACLs不再使用 AWS WAF Classic Web 之後,您可以視需要刪除它們。