管理应用程序层 DDoS 自动缓解 - Amazon WAFAmazon Firewall Manager、和 Amazon Shield Advanced
查看资源的自动缓解配置启用和禁用自动缓解操作更改自动缓解的操作与自动缓解配合使用 Amazon CloudFormation
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

管理应用程序层 DDoS 自动缓解

使用本节中的指南来管理您的应用程序层 DDoS 自动缓解配置。有关自动缓解的工作原理的信息,请参阅前面的主题。

注意

请遵循中描述的最佳实践使用自动缓解的最佳实践

查看资源的应用程序层 DDoS 自动缓解配置

您可以在受保护资源页面和各个保护页面中查看资源的应用程序层 DDoS 自动缓解配置。

要查看应用程序层 DDoS 自动缓解配置

  1. 登录 Amazon Web Services Management Console 并打开 Amazon WAF & Shield 控制台,网址为 https://console.aws.amazon.com/wafv2/

  2. 在 Amazon Shield 导航窗格中,选择受保护的资源。在受保护资源列表中,应用程序层 DDoS 自动缓解列表示是否启用了自动缓解,如果已启用,则显示 Shield Advanced 将在缓解中使用的操作。

    您也可以选择任何应用程序层资源,以查看该资源保护页面上列出的相同信息。

启用和禁用应用程序层 DDoS 自动缓解

以下过程介绍如何对受保护资源启用或禁用自动响应。

为单个资源启用或禁用应用程序层 DDoS 自动缓解

  1. 登录 Amazon Web Services Management Console 并打开 Amazon WAF & Shield 控制台,网址为 https://console.aws.amazon.com/wafv2/

  2. 在 Amazon Shield 导航窗格中,选择受保护的资源

  3. 保护选项卡中,选择要为其启用自动缓解功能的应用程序层资源。资源的保护页面打开。

  4. 在保护组页面上,选择编辑

  5. 为全局资源配置第 7 层 DDoS 缓解(可选页面中,对于应用程序层 DDoS 自动缓解,选择要用于自动缓解的选项。控制台上的选项如下:

    • 保留当前设置:不对受保护资源的自动缓解设置进行任何更改。

    • 启用:为受保护的资源启用自动缓解。选择此选项时,还要选择要在 Web ACL 规则中使用自动缓解措施的规则操作。有关规则操作设置的信息,请参阅 规则操作

      如果您的受保护资源还没有正常应用程序流量的历史记录,请在Count模式下启用自动缓解功能,直到 Shield Advanced 可以建立基准。当您将 Web ACL 与受保护的资源关联时,Shield Advanced 会开始收集其基准信息,并且可能需要 24 小时到 30 天才能建立正常流量的良好基准。

    • 禁用:禁用受保护资源的自动缓解。

  6. 浏览其余页面,直到完成并保存配置。

保护页面中,将更新资源的自动缓解设置。

更改用于应用程序层 DDoS 自动缓解的操作

您可以在控制台的多个位置更改 Shield Advanced 用于其应用程序层自动响应的操作:

如果您有两个受保护资源共享一个 Web ACL,并且您将其中一个资源的操作设置为 Count,将另一个资源的操作设置为 Block,Shield Advanced 会将规则组的基于速率的规则 ShieldKnownOffenderIPRateBasedRule 的操作设置为 Block。

Amazon CloudFormation 与自动应用层 DDoS 缓解配合使用

了解如何使用 Amazon CloudFormation 来管理您的防护和 Amazon WAF Web ACL。

启用或禁用应用程序层 DDoS 自动缓解

您可以使用AWS::Shield::Protection资源通过 Amazon CloudFormation启用和禁用自动应用层 DDoS 缓解。效果与通过控制台或任何其他界面启用或禁用该功能时的效果相同。有关 Amazon CloudFormation 资源的信息,请参阅Amazon CloudFormation 用户指南AWS::Shield::Protection中的。

管理与自动缓解配合使用的 Web ACL

Shield Advanced 使用受保护资源的 Amazon WAF Web ACL 中的规则组规则管理受保护资源的自动缓解措施。通过 Amazon WAF 控制台和 API,您将看到 Web ACL 规则中列出的规则,其名称以开头ShieldMitigationRuleGroup。该规则专用于您的应用程序层 DDoS 自动缓解,由 Shield Advanced 和 Amazon WAF管理. 有关更多信息,请参阅 Shield Advanced 规则组Shield Advanced 如何管理自动缓解

如果您使用 Amazon CloudFormation 管理网页 ACL,请不要将 Shield Advanced 规则组规则添加到您的 Web ACL 模板中。当您更新与自动缓解保护一起使用的 Web ACL 时, Amazon WAF 会自动管理 Web ACL 中的规则组规则。

与您管理的其他 Web ACL 相比,您将看到以下区别: Amazon CloudFormation

  • Amazon CloudFormation 不会报告使用 Shield Advanced 规则组规则的 Web ACL 的实际配置与没有规则的 Web ACL 模板之间的堆栈偏移状态存在任何偏差。Shield Advanced 规则不会出现在资源实际列表的偏移细节中。

    您将能够在从中检索的 Web ACL 列表中看到 Shield Advanced 规则组规则 Amazon WAF,例如通过 Amazon WAF 控制台或 Amazon WAF API。

  • 如果您修改堆栈中的 Web ACL 模板, Amazon WAF Shield Advanced 会在更新后的 Web ACL 中自动维护 Shield Advanced 自动缓解规则。Shield Advanced 提供的自动缓解保护不会因您对 Web ACL 的更新而中断。

不要在你的 Amazon CloudFormation 网页 ACL 模板中管理 Shield Advanced 规则。Web ACL 模板不应列出 Shield Advanced 规则。请在 使用自动缓解的最佳实践 按照 Web ACL 管理的最佳实践进行操作。