使用自动缓解的最佳实践 - Amazon WAF、Amazon Firewall Manager 和 Amazon Shield Advanced
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

使用自动缓解的最佳实践

使用自动缓解时,请遵循此处提供的指南。

  • 通过 Shield Advanced 管理所有自动缓解保护,或者如果您使用Amazon Firewall Manager管理 Shield Advanced 自动缓解设置,则通过 Firewall Manager 管理所有自动缓解保护。不要混用 Shield Advanced 和 Firewall Manager 来管理这些保护。

  • 使用相同的 Web ACL 和保护设置管理相似的资源,使用不同的 Web ACL 管理不同的资源。当 Shield Advanced 缓解对受保护资源的 DDoS 攻击时,它会为与该资源关联的 Web ACL 定义规则,然后针对与 Web ACL 关联的所有资源的流量测试规则。只有在规则不会对任何相关资源产生负面影响的情况下,Shield Advanced 才会应用这些规则。有关更多信息,请参阅 Shield Advanced 如何管理自动

  • 不要从您的 Web ACL 中删除名称以开头的任何规则组ShieldMitigationRuleGroup。如果这样做,则会禁用 Shield Advanced 自动缓解为与 Web ACL 关联的所有资源提供的保护。此外,Shield Advanced 可能需要一些时间才能收到更改通知并更新其设置。在此期间,Shield Advanced 控制台页面将提供错误的信息。有关更多信息,请参阅 Shield Advanced 规则组参考声明

  • 对于所有互联网流量都通过 Amazon CloudFront 分配进行代理的应用程序负载均衡器,只能对 CloudFront分配启用自动缓解。该 CloudFront 分配将始终拥有最多的原始流量属性,Shield Advanced 利用这些属性来缓解攻击。