本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
Shield 高级应用层Amazon WAF Web ACL 和基于速率的规则
要使用 Shield Advanced 保护应用层资源,首先要将Amazon WAF Web ACL 与该资源关联。 Amazon WAF是一种 Web 应用程序防火墙,可让您监视转发到应用程序层资源的 HTPS 和 HTPS 请求,并根据请求的特征控制对您的内容的访问。您可以配置 Web ACL 以根据请求的来源、查询字符串和 cookie 的内容以及来自单个 IP 地址的请求速率等因素来监控和管理请求。您的 Shield Advanced 保护至少要求您将 Web ACL 与基于速率的规则关联,该规则限制了每个 IP 地址的请求速率。
如果关联的 Web ACL 没有定义基于速率的规则,Shield Advanced 会提示您至少定义一个规则。当来自源 IP 的流量超过您定义的阈值时,基于速率的规则会自动阻止这些流量。它们有助于保护您的应用程序免受网络请求泛洪的影响,并可以提供有关流量突然激增的警报,这可能表明存在潜在的 DDoS 攻击。
在您的 Web ACL 到位后,如果发生 DDoS 攻击,您可以通过在 Web ACL 中添加和管理规则来采取缓解措施。您可以在 Shield 响应小组 (SRT) 的协助下直接执行此操作,也可以通过自动应用层 DDoS 缓解来执行此操作。
基于费率的规则是如何运作的
当您使用基于速率的规则时,每 30 秒Amazon WAF评估前五分钟的流量。 Amazon WAF阻止来自任何超过阈值的源 IP 地址的请求,直到请求速率降至可接受的水平。配置基于速率的规则时,将其速率阈值配置为一个大于您在任何五分钟时间段内来自任何一个源 IP 的正常流量速率的值。
您可能需要在 Web ACL 中使用多个基于速率的规则。例如,您可以为所有具有较高阈值的流量设置一条基于速率的规则,外加一条或多条配置为匹配 Web 应用程序的选定部分且阈值较低的附加规则。例如,您可以在 URI 上匹配/login.html具有较低阈值的 URI,以减少对登录页面的滥用。
有关其他信息和指导,请参阅安全博客文章 “三个最重要的Amazon WAF基于费率的规则
通过扩展配置选项Amazon WAF
Shield Advanced 控制台允许您添加基于速率的规则并使用基本设置对其进行配置。您可以通过管理基于费率的规则来定义其他配置选项Amazon WAF。例如,您可以将规则配置为聚合转发的 IP 地址,也可以添加范围缩小语句以过滤掉评估中的某些请求。有关所有配置选项,请参阅基于速率的规则语句。有关使用Amazon WAF管理 Web 请求监控和管理规则的信息,请参阅创建 Web ACL。