Amazon Shield Advanced Web 应用程序的缓解逻辑

Amazon Shield Advanced Amazon WAF 用于缓解 Web 应用程序层攻击。 Amazon WAF 包含在 Shield Advanced 中，无需额外付费。

标准应用程序层保护

使用 Shield Advanced 保护亚马逊 CloudFront 分配或应用程序负载均衡器时，如果尚未关联 Amazon WAF 网络 ACL，则可以使用 Shield Advanced 将网络 ACL 与受保护的资源相关联。如果您尚未配置 Web ACL，则可以使用 Shield Advanced 控制台向导创建一个，然后向其添加基于速率的规则。基于速率的规则限制了每个 IP 地址每五分钟时间窗口的请求数，从而提供了防止 Web 应用程序层请求泛洪的基本保护。您可以配置速率，起始速率低至 100。有关更多信息，请参阅 Shield 高级应用层 Amazon WAF Web ACL 和基于速率的规则。

您也可以使用该 Amazon WAF 服务来管理 Web ACL。通过 Amazon WAF，您可以扩展 Web ACL 配置以执行诸如检查特定 Web 请求组件的字符串匹配或模式、添加自定义请求和响应处理以及与请求源的地理位置进行匹配等操作。有关 Amazon WAF 规则的更多信息，请参阅Amazon WAF 规则。

自动应用程序层缓解

要增强保护，请启用 Shield Advanced 自动应用程序层缓解。使用此选项，Shield Advanced 会为来自已知 DDoS 来源的请求维护 Amazon WAF 速率限制规则，并为检测到的 DDoS 攻击提供自定义缓解措施。

当 Shield Advanced 检测到针对受保护资源的攻击时，它会尝试识别攻击特征，将攻击流量与流向应用程序的正常流量隔离开来。Shield Advanced 会根据受到攻击的资源以及与同一 Web ACL 关联的任何其他资源的历史流量模式评估已识别的攻击特征。

如果 Shield Advanced 确定攻击特征码仅隔离 DDoS 攻击中涉及的流量，则它会在关联的 Web ACL 中的 Amazon WAF 规则中实施签名。您可以指示 Shield Advanced 设置缓解措施，这些缓解措施只计算与之匹配的流量，或者阻止流量，您可以随时更改设置。当 Shield Advanced 确定不再需要其缓解规则时，它会将其从 Web ACL 中删除。有关应用程序层事件缓解的更多信息，请参阅 Shield Advanced 应用程序层 DDoS 自动缓解。

有关 Shield Advanced 应用程序层缓解的更多信息，请参阅 Amazon Shield Advanced 应用层（第 7 层）保护。