引入全新的主机体验 Amazon WAF
现在,您可以使用更新的体验访问控制台中任意位置的 Amazon WAF 功能。有关更多详细信息,请参阅 使用更新的主机体验。
本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
使用 Amazon WAF Web ACLs 和 Shield Advanced 保护应用层
本页介绍了 Amazon WAF web ACLs 和 Shield Advanced 如何协同工作以创建基本的应用层保护。
要使用 Shield Advanced 保护应用层资源,首先要将 Amazon WAF Web ACL 与该资源关联。 Amazon WAF 是一个 Web 应用程序防火墙,允许您监控转发到应用层资源的 HTTP 和 HTTPS 请求,并允许您根据请求的特征控制对内容的访问权限。您可以配置 Web ACL,根据请求的来源、查询字符串和 Cookie 的内容以及来自单个 IP 地址的请求速率等因素来监控和管理请求。要进行 Shield Advanced 保护,您至少要将 Web ACL 与基于速率的规则相关联,该规则限制了每个 IP 地址的请求速率。
如果关联的 Web ACL 没有定义基于速率的规则,Shield Advanced 会提示您定义至少一个规则。当流量超过您定义的阈值 IPs时,基于速率的规则会自动阻止来自来源的流量。它们有助于保护您的应用程序免受 Web 请求洪水的侵害,并可以提供有关流量突然激增的警报,这可能表明可能存在 DDo S 攻击。
注意
基于速率的规则以非常快的速度响应规则监控的流量峰值。因此,基于速率的规则不仅可以防止攻击,还可以由 Shield Advanced 检测潜在的攻击。这种权衡有利于预防,而不是为了完全了解攻击模式。我们建议使用基于速率的规则作为抵御“攻击”的第一道防线。
建立 Web ACL 后,如果发生 DDo S 攻击,您可以通过在 Web ACL 中添加和管理规则来采取缓解措施。您可以在 Shield 响应小组 (SRT) 的协助下直接执行此操作,也可以通过自动应用层 DDo S 缓解来自动执行此操作。
重要
如果您还使用自动应用层 DDo S 缓解措施,请参阅管理 Web ACL 的最佳实践,网址为使用自动应用层 DDo S 缓解措施的最佳实践。
有关使用 Amazon WAF 管理 Web 请求监控和管理规则的信息,请参阅在中创建保护包或 Web ACL Amazon WAF。