检测和缓解 - Amazon WAFAmazon Firewall Manager、和 Amazon Shield Advanced
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

检测和缓解

本节介绍影响 Shield Advanced 检测和缓解应用层事件的因素。

运行状况检查

Health 检查可以准确报告应用程序的整体运行状况,从而为 Shield Advanced 提供有关您的应用程序正在经历的流量状况的信息。当您的应用程序报告运行状况不佳时,Shield Advanced 需要更少的指向潜在攻击的信息,如果您的应用程序报告运行正常,则需要更多的攻击证据。

配置运行状况检查非常重要,这样它们才能准确地报告应用程序的运行状况。有关更多信息和指导,请参阅 使用运行状况检查进行基于运行状况的检测

流量基线

流量基线为 Shield Advanced 提供了有关您的应用程序正常流量特征的信息。Shield Advanced 使用这些基准来识别您的应用程序何时未收到正常流量。,因此它可以通知您,并根据配置开始设计和测试缓解选项来抵御潜在的攻击。有关 Shield Advanced 如何使用流量基准检测潜在事件的更多信息,请参阅概述部分应用程序层威胁检测逻辑

Shield Advanced 根据与受保护资源关联的 Web ACL 提供的信息创建其基准。Web ACL 必须与资源关联至少 24 小时至 30 天,Shield Advanced 才能可靠地确定应用程序的基准。所需时间从您关联 Web ACL 时开始,无论是通过 Shield Advanced 还是通过 Amazon WAF。

有关使用 Web ACL 和 Shield 高级应用层保护的更多信息,请参阅Shield 高级应用层 Amazon WAF Web ACL 和基于速率的规则

基于速率的规则

基于速率的规则可以帮助缓解攻击。它们还可以掩盖攻击,方法是在攻击成为足够大的问题以至于出现在正常流量基线或运行状况检查状态报告中的问题之前对其进行缓解。

当你使用 Shield Advanced 保护应用程序资源时,我们建议在你的 Web ACL 中使用基于速率的规则。尽管它们的缓解措施可以掩盖潜在的攻击,但它们是宝贵的第一道防线,有助于确保您的应用程序可供合法客户使用。基于速率的规则检测到的流量和速率限制在您的 Amazon WAF 指标中可见。

除了您自己的基于速率的规则外,如果您启用自动应用层 DDoS 缓解,Shield Advanced 还会在您的 Web ACL 中添加一个用于缓解攻击的规则组。在此规则组中,Shield Advanced 始终采用基于速率的规则,该规则限制了来自已知是 DDoS 攻击来源的 IP 地址的请求量。Shield Advanced 规则缓解的流量指标无法供您查看。

有关基于费率的规则的更多信息,请参阅基于速率的规则语句。有关 Shield Advanced 用于自动缓解应用层 DDoS 的基于速率的规则的信息,请参阅。Shield Advanced 规则组

有关 Shield Advanced 和 Amazon WAF 指标的更多信息,请参阅使用 Amazon 进行监控 CloudWatch