本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
编辑 Amazon Shield Advanced 保护
您可以随时更改 Amazon Shield Advanced 保护设置。为此,您可以查看所选的保护选项,并修改需要更改的设置。
管理受保护资源
登录 Amazon Web Services Management Console 并打开 Amazon WAF & Shield 控制台,网址为https://console.aws.amazon.com/wafv2/
。 -
在 Amazon Shield 导航窗格中,选择受保护的资源。
-
在保护选项卡中,选择要保护资源。
-
选择所需的配置保护和资源规格选项。
-
浏览每个资源保护选项,根据需要进行更改。
配置应用层 DDo S 保护
为了防范对 Amazon CloudFront 和 Application Load Balancer 资源的攻击,您可以添加 Amazon WAF 网页ACLs 和添加基于速率的规则。有关此问题的信息,请参阅 使用 Amazon WAF Web ACLs 和 Shield Advanced 保护应用层。
您还可以启用 Shield Advanced 自动应用层 DDo S 缓解措施。有关 Amazon WAF 工作原理的信息,请参阅Amazon WAF。有关自动缓解功能的信息,请参阅 使用 Shield Advanced 自动缓解应用层 DDo S 。
重要
如果您通过 Amazon Firewall Manager 使用 Shield Advanced 策略来管理 Shield 高级保护,则无法在此处管理应用层保护。对于所有其他资源,我们建议至少为每个资源关联一个 Web ACL,即使该 Web ACL 不包含任何规则。
注意
当你为资源启用自动应用层 DDo S缓解时,如果需要,该操作会自动向你的账户添加服务相关角色,以授予Shield Advanced管理你的Web ACL保护所需的权限。有关信息,请参阅使用 Shield Advance 的服务相关角色。
配置应用层 DDo S 保护
-
在配置 DDo第 7 层保护页面中,如果资源尚未与 Web ACL 关联,则可以选择现有的 Web ACL 或创建自己的 Web ACL。
要创建 Web ACL,请执行以下操作:
-
选择 创建 Web ACL。
-
输入名称。Web ACL 在创建之后无法更改名称。
-
选择创建。
注意
如果资源已与一个 Web ACL关联,则不能更改为其他 Web ACL。如果要更改 Web ACL,则必须先 ACLs 从资源中移除关联的 Web。有关更多信息,请参阅 将 Web ACL 与资源关联或取消关联 Amazon。
-
-
如果 Web ACL 未定义基于速率的规则,则可以选择添加速率限制规则,然后执行以下步骤来添加规则:
-
输入名称。
-
输入速率限制。这是在对 IP 地址应用基于速率的规则操作之前,在任何 5 分钟内允许来自任何单个 IP 地址的最大请求数。当来自该 IP 地址的请求低于限制时,该操作将停止。
-
将规则操作设置为在 IP 地址的请求计数超过限制时对 IP 的请求进行计数或阻止。规则操作的应用和删除可能会在 IP 地址请求速率更改一两分钟后生效。
-
选择 添加规则。
-
-
对于自动缓解应用层 DDo S,请选择是否希望 Shield Advanced 代表您自动缓解 DDo S 攻击,如下所示:
-
要启用自动缓解,请选择 “启用”,然后选择希望 Shield Advanced 在其自定义规则中使用的规则操作。 Amazon WAF 你的选择是 Count 以及 Block。 有关这些 Amazon WAF 规则操作的信息,请参阅在中使用规则操作 Amazon WAF。有关 Shield Advanced 如何管理此操作设置的信息,请参阅 Shield Advanced 如何管理规则操作设置。
-
要禁用自动缓解,请选择禁用。
-
要使您管理的资源的自动缓解设置保持不变,请保留默认选项保持当前设置。
有关 Shield Advanced 自动应用层 DDo S 缓解措施的信息,请参阅使用 Shield Advanced 自动缓解应用层 DDo S 。
-
-
选择下一步。