Shield Advanced 如何管理自动 - Amazon WAF、Amazon Firewall Manager 和 Amazon Shield Advanced
当您启用自动缓解时在 DDoS 攻击期间当您更改操作设置时当攻击平息时当您禁用自动缓解时
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Shield Advanced 如何管理自动

本节中的主题介绍了 Shield Advanced 如何处理您的自动应用层 DDoS 缓解配置更改,以及启用自动缓解后如何处理 DDoS 攻击。

在启用自动缓解时在启用自动缓解时在启用自动

当你启用自动缓解时,Shield Advanced 会执行以下操作:

  • 根据需要添加一个规则组供 Shield Advanced 使用 — 如果您与该资源关联的Amazon WAF Web ACL 还没有专门用于自动应用层 DDoS 缓解的Amazon WAF规则组参考声明,Shield Advanced 会添加一个规则组参考语句。规则组引用语句的名称以开头ShieldMitigationRuleGroup。有关此规则组的更多详细信息,请参阅Shield Advanced 规则组参考声明

  • 开始响应针对资源的 DDoS 攻击 — Shield Advanced 会自动响应受保护资源的 DDoS 攻击。Shield Advanced 使用Amazon WAF规则组部署用于缓解 DDoS 攻击的规则。Shield Advanced 会根据您的应用程序和应用程序遇到的攻击量身定制这些规则,并在部署之前根据资源的历史流量对其进行测试。以下各节提供了有关 Shield Advanced 如何做到这一点的更多信息。

Shield Advanced 在您用于自动缓解的任何 Web ACL 中使用单个规则组引用语句。如果你已经在使用 Web ACL 进行自动缓解,Shield Advanced 不会向其添加其他规则组。应用层 DDoS 的自动缓解取决于规则组的存在来缓解攻击。如果出于任何原因将规则组从Amazon WAF Web ACL 中删除,则删除会禁用与该 Web ACL 关联的所有资源的自动缓解。

Shield Advanced 如何通过自动缓解来响应 DDoS 攻

当 Shield Advanced 检测到对启用了自动缓解的受保护资源的攻击时,它会执行以下操作:

  1. 尝试识别一种攻击特征,该特征将攻击流量与应用程序的正常流量隔离开来。目标是生成高质量的 DDoS 缓解规则,这些规则放置后仅影响攻击流量,不会影响应用程序的正常流量。

  2. 根据受到攻击的资源以及与同一 Web ACL 关联的任何其他资源的历史流量模式评估已识别的攻击特征。Shield Advanced 会在部署任何规则来应对事件之前执行此操作。

    根据评估结果,Shield Advanced 执行以下操作之一:

    • 如果 Shield Advanced 确定攻击签名仅隔离涉及 DDoS 攻击的流量,则它将在Amazon WAF Web ACL 的 Shield Advanced 缓解规则组下的规则中实现签名。Shield Advanced 为这些规则提供了你为资源自动缓解配置的操作设置,要COUNT么是BLOCK

    • 否则,Shield Advanced 不会提供缓解措施。

在整个攻击过程中,Shield Advanced 会发送与基本 Shield Advanced 应用层保护相同的通知并提供相同的事件信息。您可以在 Shield Advanced 事件控制台中查看有关事件和 DDoS 攻击以及任何 Shield Advanced 攻击缓解措施的信息。有关信息,请参阅对 DDoS 事件的可见性

如果您已将自动缓解配置为使用BLOCK规则操作,并且遇到 Shield Advanced 部署的缓解规则出现误报,则可以将规则操作更改为COUNT。有关如何执行此操作的信息,请参阅 更改用于自动应用层 DDoS 缓解的操作

在对规则和操作设置时在更改规则时在更改规则时在更改规则时

当您更改受保护资源的自动缓解规则操作设置时,Shield Advanced 会更新该资源的所有规则设置。它更新托管规则组中当前存在的所有资源规则,并在创建新规则时使用新的操作设置。

在更改操作设置可能需要几秒钟进行传播。在此期间,您可能会在使用规则组的某些地方看到旧设置,而在其他地方看到新设置。

您可以在控制台的事件页面中以及通过应用层配置页面更改自动缓解配置的规则操作设置。有关活动页面的信息,请参阅响应 DDoS 事件。有关配置页面的更多信息,请参阅配置应用层 DDoS 保护

攻击平息后,Shield Advanced 如何管理缓解措施

当 Shield Advanced 确定不再需要为特定攻击部署的缓解规则时,它会将其从 Shield Advanced 缓解规则组中删除。

删除缓解规则不一定与攻击的结束相吻合。Shield Advanced 监控它在您的受保护资源上检测到的攻击模式。它可以通过保留其针对最初发生的攻击而部署的规则,主动防御具有特定签名的攻击再次发生。根据需要,Shield Advanced 会延长其维持规则的时间窗口。这样,Shield Advanced 就可以在反复攻击影响您的受保护资源之前,使用特定的签名来缓解这些攻击。

在在禁用自动缓解时在禁用自动缓解时

当你禁用资源的自动缓解时,Shield Advanced 会执行以下操作:

  • 停止自动响应 DDoS 攻击 — Shield Advanced 停止对该资源的自动响应活动。

  • 从 Shield Advanced 规则组中移除不需要的规则 — 如果 Shield Advanced 代表受保护资源维护其托管规则组中的任何规则,则会将其删除。

  • 如果不再使用 Shield Advanced 规则组,则将其删除 — 如果您与该资源关联的 Web ACL 未与任何其他启用自动缓解的资源相关联,则 Shield Advanced 会将其规则组参考语句从 Web ACL 中删除。