Amazon Shield Advanced 功能和选项 - Amazon WAF、Amazon Firewall Manager、Amazon Shield Advanced 和 Amazon Shield 网络安全分析器
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

介绍 Amazon WAF 的全新控制台体验

现在,您可以使用更新后的体验访问控制台中任意位置的 Amazon WAF 功能。有关更多详细信息,请参阅 使用更新的控制台体验

Amazon Shield Advanced 功能和选项

Amazon Shield Advanced 订阅包括以下功能和选项。这些功能是对 Amazon 已提供的 DDoS 检测和缓解功能的补充。

  • Amazon WAF 集成:Shield Advanced 使用 Amazon WAF web ACL、规则和规则组作为其应用程序层保护的一部分。有关 Amazon WAF 的更多信息,请参阅Amazon WAF 的工作原理

    注意

    您的 Shield Advanced 订阅涵盖了为您使用 Shield Advanced 保护的资源使用标准 Amazon WAF 功能的费用。Shield Advanced 保护所涵盖的标准 Amazon WAF 费用包括每个保护包(web ACL)的费用、每条规则的费用以及每百万个 web 请求检查的基本价格,最多 1500 个 WCU,不超过默认正文大小。

    启用 Shield Advanced 自动应用程序层 DDoS 缓解会向使用 150 个保护包(web ACL)容量单位(WCU)的 web ACL 中添加一个规则组。这些 WCU 会计入保护包(web ACL)中的 WCU 使用量。有关更多信息,请参阅使用 Shield Advanced 自动化应用程序层 DDoS 缓解 使用 Shield Advanced 规则组保护应用程序层Amazon WAF 中的 Web ACL 容量单位(WCU)数

    您的 Shield Advanced 订阅不包括对未使用 Shield Advanced 进行保护的资源使用 Amazon WAF。它也不包括受保护资源的任何额外非标准 Amazon WAF 成本。非标准 Amazon WAF 成本的示例包括机器人控制功能、CAPTCHA 规则操作、使用 1500 个以上 WCU 的 web ACL 以及检查超出默认正文大小的请求正文的成本。Amazon WAF 定价页面上提供了完整的列表。您对 Shield Advanced 的订阅包括对第 7 层反 DDoS 防护 Amazon 托管规则组的访问权限。作为订阅的一部分,您将在一个日历月内收到最多 500 亿个 Shield Advanced 受保护 Amazon WAF 资源的请求。超过 500 亿的请求将根据 Amazon Shield Advanced 定价页面进行计费。

    有关完整信息和定价示例,请参阅 Shield 定价Amazon WAF 定价

  • 应用程序层 DDoS 自动缓解:您可以将 Shield Advanced 配置为自动响应,以缓解对受保护资源的应用程序层(第 7 层)攻击。通过自动缓解,Shield Advanced 对来自已知 DDoS 来源的请求强制执行 Amazon WAF 速率限制,并自动添加和管理自定义 Amazon WAF 保护以应对检测到的 DDoS 攻击。您可以配置自动缓解以计算或阻止作为攻击一部分的 web 请求。

    有关更多信息,请参阅 使用 Shield Advanced 自动化应用程序层 DDoS 缓解

  • 运行状况检测:您可以将 Amazon Route 53 运行状况检查与 Shield Advanced 结合使用,为事件检测和缓解提供信息。Health checks 会根据您的规格监控您的应用程序,在满足您的规格时报告运行状况正常,不符合规格时报告运行状况不佳。在 Shield Advanced 中使用运行状况检查有助于防止误报,并在受保护的资源状况不佳时更快地进行检测和缓解。您可以对除 Route 53 托管区域之外的任何资源类型使用运行状况检测。Shield Advanced 主动交互仅适用于启用了运行状况检测的资源。

    有关更多信息,请参阅 使用 Shield Advanced 和 Route 53 进行运行状况检测

  • 保护组:您可以使用保护组来创建受保护资源的逻辑分组,以增强对整个组的检测和缓解。您可以定义保护组成员资格的条件,以便自动包括新受保护的资源。受保护资源可归属于多个保护组。

    有关更多信息,请参阅 对 Amazon Shield Advanced 保护进行分组

  • 增强对 DDoS 事件和攻击的可见性:Shield Advanced 允许您访问高级的实时指标和报告,从而全面了解受保护Amazon资源的事件和攻击。您可以通过 Shield Advanced API 和控制台以及 Amazon CloudWatch 指标访问这些信息。

    有关更多信息,请参阅 使用 Shield 提供对 DoS 事件的可见性

  • 通过 Amazon Firewall Manager 集中管理 Shield Advanced 保护:您可以使用 Firewall Manager 自动对您的新账户和资源应用 Shield Advanced 保护,并将 Amazon WAF 规则部署到您的 web ACL。Firewall Manager Shield Advanced 保护策略包含在内,Shield Advanced 客户无需额外付费。您还可以使用带有 Amazon Simple Notification Service (SNS) 主题或 Amazon Security Hub CSPM 的 Firewall Manager 为您的账户集中管理 Shield Advanced 监控活动或。

    有关使用 Firewall Manager 管理 Shield Advanced 保护的更多信息,请参阅 Amazon Firewall Manager在 Firewall Manager 中使用 Amazon Shield Advanced 策略。有关 Firewall Manager 定价的更多信息,请参阅 Amazon Firewall Manager 定价

  • Amazon Shield Response Team (SRT):SRT 在保护 Amazon、Amazon 及其子公司方面拥有丰富的经验。作为 Amazon Shield Advanced 客户,在影响应用程序可用性的 DDoS 攻击期间,您可以随时联系 SRT 寻求帮助。您还可以使用 SRT 为您的资源创建和管理自定义缓解措施。要使用 SRT 的服务,您还必须订阅 Business Support Plan企业支持计划

    有关更多信息,请参阅 支持 Shield 响应小组 (SRT) 的托管 DDoS 事件响应

  • 主动参与:通过主动参与,如果您与受保护资源关联的 Amazon Route 53 运行状况检查在 Shield Advanced 检测到的事件中显示状况不佳,则 Shield 响应团队 (SRT) 会直接与您联系。这样一来,当您的应用程序可用性可能受到疑似攻击影响时,您可以更快地与专家联系。

    有关更多信息,请参阅 设置主动参与,让 SRT 直接与您联系

  • 成本保护机会:Shield Advanced 提供了一些成本保护,可防止受保护资源因受到 DDoS 攻击而导致 Amazon 账单激增。这可能包括对 Shield Advanced 数据传出 (DTO) 使用费峰值的保障。Shield Advanced 以 Shield Advanced 服务积分的形式提供任何成本保护。

    有关更多信息,请参阅 攻击发生后在 Amazon Shield Advanced 申请积分