本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
使用以下配置应用层(第 7 层)DDoS 保护Amazon WAF
为了保护应用层资源,Shield AdvancAmazon WAF ed 使用基于速率的规则的 Web ACL 作为起点。 Amazon WAF是一种 Web 应用程序防火墙,可让您监视转发到应用程序层资源的 HTTP 和 HTTPS 请求,并控制对您的内容的访问。基于速率的规则限制来自任何单个 IP 地址的流量,为您的应用程序提供基本的 DDoS 保护。有关更多信息,请参阅 Amazon WAF 的工作原理 和 基于速率的规则语句。
在 Shield Advanced 中使用Amazon WAF网络 ACL 的基本费用由您的 Shield Advanced 订阅支付。有关定价信息和示例,请参阅Amazon Shield Advanced定价
您还可以选择启用 Shield Advanced 自动应用层 DDoS 缓解功能,让 Shield Advanced 自动为你提供针对特定事件的保护。
重要
如果您通过Amazon Firewall Manager使用 Shield Advanced 策略来管理您的 Shield Advanced 保护,则无法在此处管理应用程序层保护。您必须在 FFirewall Manager eranage
为区域配置第 7 层 DDoS 保护
Shield Advanced 允许您选择为所选资源所在的每个区域配置第 7 层 DDoS 缓解措施。如果您要在多个区域添加保护,则向导会引导您完成每个区域的以下步骤。
-
配置第 7 层 DDoS 保护页面列出了尚未与 Web ACL 关联的每种资源。对于每个,要么选择现有的 Web ACL,要么创建一个新的 Web ACL。对于任何已经有关联 Web ACL 的资源,您可以先通过取消当前 ACL 的关联来更改 Web ACLAmazon WAF。有关更多信息,请参阅将 Web ACL 与Amazon资源关联或取消关联:
对于还没有基于速率的规则的 Web ACL,配置向导会提示您添加一个。基于速率的规则限制了来自 IP 地址发送大量请求的流量。基于速率的规则有助于保护您的应用程序免受 Web 请求泛滥的影响,并可以提供有关流量突然激增的警报,这可能表明存在潜在的 DDoS 攻击。选择添加速率限制规则,然后提供速率限制和规则操作,将基于速率的规则添加到 Web ACL。您可以通过在 Web ACL 中配置其他保护Amazon WAF。
有关在 Shield Advanced 保护中使用 Web ACL 和基于速率的规则(包括基于速率的规则的其他配置选项)的信息,请参阅Shield 高级应用层Amazon WAF Web ACL 和基于速率的规则。
-
对于自动应用层 DDoS 缓解,如果您想让 Shield Advanced 自动缓解针对您的应用层资源的 DDoS 攻击,请选择 “启用”,然后选择您希望 Shield Advanced 在其自定义规则中使用的规则操作。Amazon WAF此设置适用于您在此向导会话中管理的资源的所有 Web ACL。
借助应用层 DDoS 自动缓解功能,Shield Advanced 将当前流量模式与历史流量基准进行比较,以检测可能预示 DDoS 攻击的偏差。如果为资源启用了自动缓解功能,则当 Shield Advanced 检测到 DDoS 攻击时,它会通过创建、评估和部署自定义Amazon WAF规则进行响应。您可以指定自定义规则是计算还是代表您阻止攻击。
注意
自动应用层 DDoS 缓解仅适用于使用最新版本Amazon WAF (v2) 创建的 Web ACL。
有关 Shield Advanced 自动应用层 DDoS 缓解的更多信息,请参阅Shield Advanced 自动应用层 DDoS。
-
选择 Next(下一步)。控制台向导进入基于健康状况的检测页面。