本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
Shield 高级应用层 Amazon WAF Web ACL 和基于速率的规则
要使用 Shield Advanced 保护应用层资源,首先要将 Amazon WAF Web ACL 与该资源关联。 Amazon WAF 是一种 Web 应用程序防火墙,允许您监控转发到应用层资源的 HTTP 和 HTTPS 请求,并允许您根据请求的特征控制对内容的访问权限。您可以配置 Web ACL,根据请求的来源、查询字符串和 Cookie 的内容以及来自单个 IP 地址的请求速率等因素来监控和管理请求。要进行 Shield Advanced 保护,您至少要将 Web ACL 与基于速率的规则相关联,该规则限制了每个 IP 地址的请求速率。
如果关联的 Web ACL 没有定义基于速率的规则,Shield Advanced 会提示您定义至少一个规则。当来自源 IP 的流量超过您定义的阈值时,基于速率的规则会自动阻止这些流量。它们有助于保护您的应用程序免受 Web 请求泛洪的侵害,并可以提供有关流量突然激增的警报,提示您可能存在 DDoS 攻击。
注意
基于速率的规则可以非常快速地响应该规则所监控的流量峰值。因此,基于速率的规则不仅可以防止攻击,还可以防止通过Shield Advanced检测检测到潜在的攻击。这种权衡有利于预防,而不是完全了解攻击模式。我们建议使用基于速率的规则作为抵御攻击的第一道防线。
设置好 Web ACL 后,如果发生 DDoS 攻击,您可以通过在 Web ACL 中添加和管理规则来采取缓解措施。您可以在 Shield Response Team 的帮助下直接执行此操作,也可以通过应用程序层 DDoS 自动缓解措施来自动执行此操作。
重要
如果您还使用自动应用层 DDoS 缓解,请参阅管理 Web ACL 的最佳实践,网址为使用自动缓解的最佳实践。
基于速率的默认规则行为
当您使用默认配置的基于速率的规则时, Amazon WAF 会定期评估前 5 分钟时间段内的流量。 Amazon WAF 阻止来自超过规则阈值的任何 IP 地址的请求,直到请求速率降至可接受的水平。通过 Shield Advanced 配置基于速率的规则时,请将其速率阈值配置为一个大于您在任何五分钟时间窗口内预期来自任何一个源 IP 的正常流量速率的值。
您可能希望在 Web ACL 中使用多个基于速率的规则。例如,您可以为所有具有高阈值的流量设置一个基于速率的规则,外加一个或多个其他规则,这些规则配置为与您的 Web 应用程序的选定部分相匹配且阈值较低。例如,您可以对阈值较低的 URI /login.html 进行匹配,以减少对登录页面的滥用行为。
您可以将基于速率的规则配置为使用不同的评估时间窗口,并按多个请求组件(例如标头值、标签和查询参数)聚合请求。有关更多信息,请参阅 基于速率的规则语句。
有关更多信息和指导,请参阅安全博客文章《三个最重要的 Amazon WAF 基于费率的规则》
通过以下方式扩展了配置选项 Amazon WAF
Shield Advanced 控制台允许您添加基于速率的规则,并使用基本的默认设置对其进行配置。您可以通过管理基于费率的规则来定义其他配置选项。 Amazon WAF例如,您可以将规则配置为根据转发的 IP 地址、查询字符串和标签等密钥聚合请求。您还可以在规则中添加范围缩小语句,从评估和速率限制中筛选出一些请求。有关更多信息,请参阅 基于速率的规则语句。有关使用 Amazon WAF 管理 Web 请求监控和管理规则的信息,请参阅创建 Web ACL。