使用自动缓解的最佳实践

通过 Shield Advanced 管理所有自动缓解保护，或者如果你使用 Amazon Firewall Manager 管理你的 Shield Advanced 自动缓解设置，也可以通过 Firewall Manager 管理所有自动缓解保护。在管理这些保护时，请勿将 Shield Advanced 和 Firewall Manager 混用。

对于相似的资源，使用相同的 Web ACL 和保护设置进行管理；对于不同的资源，使用不同的 Web ACL 进行管理。当 Shield Advanced 缓解对受保护资源的 DDoS 攻击时，它会为与该资源关联的 Web ACL 定义规则，然后针对与 Web ACL 相关联的所有资源流量来测试规则。只有在规则不会对任何相关资源产生负面影响的情况下，Shield Advanced 才会应用这些规则。有关更多信息，请参阅 Shield Advanced 如何管理自动缓解。

对于所有互联网流量都通过 Amazon 分配代理的应用程序负载均衡器，仅在 CloudFront分配上启用自动缓解功能。 CloudFront该 CloudFront 发行版将始终拥有最多的原始流量属性，Shield Advanced 利用这些属性来缓解攻击。

为受保护的资源配置运行状况检查，并使用这些检查在 Shield Advanced 防护中启用基于生命值的检测。有关操作指南，请参阅 使用运行状况检查进行基于运行状况的检测。

在 Shield Advanced 为正常的历史流量建立基准之前，在Count模式下启用自动缓解。Shield Advanced 需要 24 小时到 30 天的时间来建立基准。

建立正常流量模式的基线需要满足以下条件：

如果您需要替换与受保护资源关联的 Web ACL，请按顺序进行以下更改：

Shield Advanced 不会自动将自动缓解措施从旧的 Web ACL 转移到新的 Web ACL。

请勿从 Web ACL 中删除任何名称以开头的 ShieldMitigationRuleGroup 规则组规则。如果您确实删除了此规则组，则会禁用 Shield Advanced 为与 Web ACL 关联的每个资源提供的自动缓解保护。此外，Shield Advanced 可能需要一些时间才能收到更改通知并更新其设置。在此期间，Shield Advanced 控制台页面所提供的信息是不准确的。

有关规则组的更多信息，请参阅 Shield Advanced 规则组。

请勿修改名称以 ShieldMitigationRuleGroup 开头的规则组规则的名称。该操作可能会干扰 Shield Advanced 自动缓解通过 Web ACL 提供的保护。

创建规则和规则组时，请勿使用以 ShieldMitigationRuleGroup 开头的名称。Shield Advanced 使用此字符串来管理您的自动缓解措施。

在管理 Web ACL 规则时，请勿将优先级设置为 10,000,000。Shield Advanced 在添加自动缓解规则组规则时会将该优先级设置分配给该规则。

在Web ACL 的规则中保持 ShieldMitigationRuleGroup 规则的优先顺序，使其根据您的需要运行。Shield Advanced 为 Web ACL 添加规则组规则，优先级为 10,000,000，这样它将在其他规则之后运行。如果您使用 Amazon WAF 控制台向导来管理 Web ACL，请在向 Web ACL 添加规则后根据需要调整优先级设置。

如果您 Amazon CloudFormation 使用管理 Web ACL，则无需管理ShieldMitigationRuleGroup规则组规则。按照 Amazon CloudFormation 与自动应用层 DDoS 缓解配合使用 中的指导进行操作。