使用自动缓解的注意事项 - Amazon WAFAmazon Firewall Manager、和 Amazon Shield Advanced
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

使用自动缓解的注意事项

以下列表描述了 Shield Advanced 应用程序层 DDoS 自动缓解的注意事项,并描述了您可能需要采取的应对措施。

  • 自动应用层 DDoS 缓解仅适用于使用最新版本 Amazon WAF (v2) 创建的 Web ACL。

  • Shield Advanced 需要时间来建立应用程序的正常、历史流量的基准,它利用该基准来检测攻击流量并将其与正常流量隔离开来,从而缓解攻击流量。从将 Web ACL 与受保护的应用程序资源关联起,建立基准的时间介于 24 小时到 30 天之间。有关流量基线的更多信息,请参阅检测和缓解

  • 启用自动应用层 DDoS 缓解会将一个规则组添加到您的 Web ACL 中,该规则组使用 150 个 Web ACL 容量单位 (WCU)。这些 WCU 会计入您的 Web ACL 中的 WCU 使用量。有关更多信息,请参阅 Shield Advanced 规则组Amazon WAF 网络 ACL 容量单位 (WCU)

  • Shield 高级规则组生成 Amazon WAF 指标,但无法查看。这与您在 Web ACL 中使用但不拥有的任何其他规则组相同,例如 Amazon 托管规则规则组。有关 Amazon WAF 指标的更多信息,请参阅Amazon WAF 指标和维度。有关此 Shield 高级保护选项的信息,请参阅Shield Advanced 应用程序层 DDoS 自动缓解

  • 对于保护多个资源的 Web ACL,自动缓解仅部署不会对任何受保护资源产生负面影响的自定义缓解措施。

  • 从 DDoS 攻击开始到 Shield Advanced 放置自定义自动缓解规则的时间间隔因每个事件而异。某些 DDoS 攻击可能会在部署自定义规则之前结束。当缓解措施已经到位时,可能会发生其他攻击,因此可能会从该事件开始就通过这些规则来缓解。此外,Web ACL 和 Shield Advanced 规则组中基于速率的规则可能会在攻击流量被检测为可能的事件之前对其进行缓解。

  • 对于通过内容分发网络 (CDN)(例如 Ama CloudFront zon)接收任何流量的应用程序负载均衡器,Shield Advanced 针对这些应用程序负载均衡器资源的应用程序层自动缓解能力将降低。Shield Advanced 使用客户端流量属性来识别攻击流量并将其从正常流量中隔离到您的应用程序,而 CDN 可能不会保留或转发原始客户端流量属性。如果您使用 CloudFront,我们建议您在 CloudFront 发行版上启用自动缓解功能。

  • 应用程序层 DDoS 自动缓解不会与保护组交互。您可以为保护组中的资源启用自动缓解,但是 Shield Advanced 不会根据保护组的调查发现自动应用攻击缓解措施。Shield Advanced 会对单个资源进行自动攻击缓解。