使用自动应用层 DDo S 缓解措施的最佳实践 - Amazon WAF、 Amazon Firewall ManagerAmazon Shield Advanced、和 Amazon Shield 网络安全总监
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

引入全新的主机体验 Amazon WAF

现在,您可以使用更新的体验访问控制台中任意位置的 Amazon WAF 功能。有关更多详细信息,请参阅 使用更新的主机体验

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

使用自动应用层 DDo S 缓解措施的最佳实践

使用自动缓解时,请遵守本节中提供的指导。

一般保护管理

在规划和实施自动缓解保护时,请遵循以下指南。

  • 通过 Shield Advanced 管理所有自动缓解保护,或者如果你使用 Amazon Firewall Manager 管理你的 Shield Advanced 自动缓解设置,也可以通过 Firewall Manager 管理所有自动缓解保护。在管理这些保护时,请勿将 Shield Advanced 和 Firewall Manager 混用。

  • 使用相同的 Web ACLs 和保护设置管理相似的资源,使用不同的 Web ACLs 管理不同的资源。当 Shield Advanced 缓解对受保护资源的 DDo S 攻击时,它会为与该资源关联的 Web ACL 定义规则,然后针对与 Web ACL 关联的所有资源的流量测试规则。只有在规则不会对任何相关资源产生负面影响的情况下,Shield Advanced 才会应用这些规则。有关更多信息,请参阅 Shield Advanced 如何管理自动缓解

  • 对于所有互联网流量都通过 Amazon 分配代理的应用程序负载均衡器,仅在 CloudFront分配上启用自动缓解功能。 CloudFront该 CloudFront 发行版将始终拥有最多的原始流量属性,Shield Advanced 利用这些属性来缓解攻击。

检测和缓解优化

请遵循以下指导方针,优化自动缓解功能为受保护资源提供的保护。有关应用程序层检测和缓解的概述,请参阅 使用影响 Shield Advanced 检测和缓解应用程序层事件的因素清单

  • 为受保护的资源配置运行状况检查,并利用这些检查在 Shield Advanced 防护中启用运行状况检测。有关指南,请参阅使用 Shield Advanced 和 Route 53 进行运行状况检测

  • 在中启用自动缓解 Count 模式,直到 Shield Advanced 为正常的历史流量建立了基准。Shield Advanced 需要 24 小时到 30 天的时间来建立基准。

    建立正常流量模式的基线需要满足以下条件:

    • Web ACL 与受保护资源关联。您可以 Amazon WAF 直接使用关联您的 Web ACL,也可以在启用 Shield 高级应用层保护并指定要使用的 Web ACL 时让 Shield Advanced 将其关联。

    • 正常流量流向受保护的应用程序。如果应用程序没有正常流量,例如在启动应用程序之前或者在长时间缺乏生产流量的情况下,则无法收集历史数据。

Web ACL 管理

请遵循以下指导方针来管理使用自动缓解功能的 Web ACLs 。

  • 如果需要替换与受保护资源关联的 Web ACL,请按顺序进行以下更改:

    1. 在 Shield Advanced 中,禁用自动缓解。

    2. 在中 Amazon WAF,取消关联旧的 Web ACL 并关联新的 Web ACL。

    3. 在 Shield Advanced 中,启用自动缓解。

    Shield Advanced 不会自动将自动缓解措施从旧 Web ACL 转移至新 Web ACL。

  • 不要从您的网站上删除任何 ACLs 名称以开头的规则组规则ShieldMitigationRuleGroup。如果确实删除了此规则组,则您将禁用 Shield Advanced 为与 Web ACL 关联的每个资源提供的自动缓解保护。此外,Shield Advanced 可能需要一些时间才能收到更改通知并更新其设置。在此期间,Shield Advanced 控制台页面所提供的信息是不准确的。

    有关规则组的更多信息,请参阅 使用 Shield Advanced 规则组保护应用程序层

  • 请勿修改名称以 ShieldMitigationRuleGroup 开头的规则组规则的名称。该操作可能会干扰 Shield Advanced 自动缓解通过 Web ACL 提供的保护。

  • 创建规则和规则组时,请勿使用以 ShieldMitigationRuleGroup 开头的名称。Shield Advanced 使用此字符串来管理您的自动缓解措施。

  • 在管理 Web ACL 规则时,请勿将优先级设置为 10,000,000。Shield Advanced 在添加自动缓解规则组规则时会将该优先级设置分配给该规则。

  • 在Web ACL 的规则中保持 ShieldMitigationRuleGroup 规则的优先顺序,使其根据您的需要运行。Shield Advanced 为 Web ACL 添加规则组规则,优先级为 10,000,000,这样它将在其他规则之后运行。如果您使用 Amazon WAF 控制台向导来管理 Web ACL,请在向 Web ACL 添加规则后根据需要调整优先级设置。

  • 如果您 Amazon CloudFormation 使用管理网页 ACLs,则无需管理ShieldMitigationRuleGroup规则组规则。按照 Amazon CloudFormation 与自动应用层 DDo S 缓解一起使用 中的指导进行操作。