介绍 Amazon WAF 的全新控制台体验
现在,您可以使用更新后的体验访问控制台中任意位置的 Amazon WAF 功能。有关更多详细信息,请参阅 使用更新的控制台体验。
使用影响 Shield Advanced 检测和缓解应用程序层事件的因素清单
本节介绍了影响 Shield Advanced 检测和缓解应用程序层事件的因素。
运行状况检查
运行状况检查可以准确报告应用程序的整体运行状况,从而为 Shield Advanced 提供有关应用程序正在经历的流量状况的信息。当应用程序报告运行状况不佳时,Shield Advanced 需要较少指向潜在攻击的信息,应用程序报告运行正常时则需要较多的攻击证据。
务必恰当运行状况检查,以便准确地报告应用程序的运行状况。有关更多信息和指导,请参阅 使用 Shield Advanced 和 Route 53 进行运行状况检测。
流量基准
流量基准为 Shield Advanced 提供了应用程序的正常流量的特征信息。Shield Advanced 使用这些基准来识别应用程序何时未收到正常流量,以便为您提供通知,并根据配置开始设计和测试缓解选项来抵御潜在的攻击。有关 Shield Advanced 如何使用流量基准检测潜在事件的更多信息,请参阅概述部分 应用程序层威胁(第 7 层)的 Shield Advanced 检测逻辑。
Shield Advanced 通过与受保护资源关联的 Web ACL 提供的信息来创建其基准。Web ACL 必须与资源关联至少 24 小时至 30 天,然后 Shield Advanced 才能可靠地确定应用程序的基准。所需时间从您关联 Web ACL 时开始算起,无论是通过 Shield Advanced 还是通过 Amazon WAF。
有关结合使用 Web ACL 和 Shield Advanced 应用程序层保护的更多信息,请参阅 使用 Amazon WAF Web ACL 和 Shield Advanced 保护应用程序层。
基于速率的规则
基于速率的规则可以帮助缓解攻击。这些规则还可以隐藏攻击,它们在攻击成为足够大的问题以至于出现在正常流量基线或运行状况检查状态报告中之前对其进行缓解。
当使用 Shield Advanced 保护应用程序资源时,我们建议在 Web ACL 中使用基于速率的规则。尽管这些规则的缓解措施可以隐藏潜在的攻击,但它们充当了宝贵的第一道防线,有助于确保应用程序可供合法的客户使用。基于速率的规则检测到并施加速率限制的流量在 Amazon WAF 指标中是可见的。
除了您自己的基于速率的规则外,如果启用了应用程序层 DDoS 自动缓解,Shield Advanced 还会在您的 Web ACL 中添加用于缓解攻击的规则组。在此规则组中,Shield Advanced 始终部署有基于速率的规则,用于限制来自已知是 DDoS 攻击来源的 IP 地址的请求量。您无法看到 Shield Advanced 规则缓解的流量指标。
有关基于速率的规则的更多信息,请参阅 在 Amazon WAF 中使用基于速率的规则语句。有关 Shield Advanced 用于应用程序层 DDoS 自动缓解的基于速率的规则信息,请参阅 使用 Shield Advanced 规则组保护应用程序层。
有关 Shield Advanced 和 Amazon WAF 指标的更多信息,请参阅 使用 Amazon CloudWatch 监控。