配置Amazon Shield Advanced保护 - Amazon WAF、Amazon Firewall Manager 和 Amazon Shield Advanced
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

配置Amazon Shield Advanced保护

您可以随时更改 Amazon Shield Advanced 保护的设置。为此,请查看所选保护选项并修改需要更改的设置。

注意

此处提供的控制台指南适用于Amazon Shield控制台,于 2020 年发布。在控制台中,您可以在版本之间切换。

管理受保护的资源

  1. 登录到Amazon Web Services Management Console并打开Amazon WAF Shield 控制台 (位于https://console.aws.amazon.com/wafv2/.

  2. 在Amazon Shield导航窗格中,选择受保护的资源.

  3. 受保护的资源选项卡上,选择要保护的资源。

  4. 选择配置保护和您需要的资源规范选项。

  5. 介绍每个资源保护选项,根据需要进行更改。以下主题详细介绍了每个选项。

配置第 7 层 DDoS 缓解

为了防范 Amazon CloudFront 和 Application Load Balancer 资源的攻击,您可以将Amazon WAFWeb ACL 和基于速率的规则。有关 Amazon WAF 工作方式的信息,请参阅Amazon WAF

如 Shield 您在Amazon Firewall ManagerShield Advanced 策略,您无法添加 Web ACL 或基于速率的规则。

添加 Web ACL 和规则

  1. 配置第 7 层 DDoS 缓解页面上,如果资源尚未与 Web ACL 关联,则可以选择现有的 Web ACL 或创建自己的 Web ACL。

    要创建 Web ACL,请执行以下操作:

    1. 选择 Create web ACL (创建 Web ACL)

    2. 输入名称。Web ACL 在创建之后无法更改名称。

    3. 选择创建

    注意

    如果资源已与一个 Web ACL关联,则不能更改为其他 Web ACL。如果要更改 Web ACL,您必须先从资源中删除关联的 Web ACL。有关更多信息,请参阅将 Web ACL 与关联或取消关联Amazon资源

    若要创建自己的 Web ACL,请按照下列步骤操作:

  2. 对于每一个没有定义基于速率的规则的 Web ACL,您可以通过选择添加速率限制规则,然后执行以下步骤:

    1. 输入名称。

    2. 输入速率限制。这是允许通过单个 IP 地址在将基于速率的规则操作应用于 IP 地址之前通过单个 IP 地址发出的请求的最大数量。当来自 IP 地址的请求低于限制时,操作将停止。

    3. 将规则操作设置为在 IP 地址的请求计数超过限制时对 IP 地址的请求进行计数或阻止。规则操作的应用和删除可能会在 IP 地址请求速率更改后一两分钟生效。

    4. 选择 Add rule

  3. 选择 Next (下一步)

配置基于运行状况检查的 DDoS 检测

您可以使用 Amazon Route 53 运行状况检查改进Amazon Shield Advanced会检测并缓解网络层、传输层和应用程序层攻击。有关其工作方式的信息,请参阅Shield Shield Advanced 检测

要开始使用基于运行状况的检测,请为Amazon资源。有关 Route 53 运行状况检查的信息,请参阅Amazon Route 53 如何检查您的资源的运行 Health 况创建和更新运行状况检查. 创建运行状况检查后,使用以下过程将其与保护相关联。

注意

您有责任确保您使用的运行状况检查与受保护资源的运行状况相关,并且它仍然可供保护使用。高级 Shield 不会以任何方式管理运行状况检查。

以下过程显示如何将 Amazon Route 53 运行状况检查与保护相关联。

配置基于运行状况的 DDoS 检测

  1. 在保护页面配置基于运行状况检查的 DDoS 检测-optional,对于要管理的资源,在关联 Health 检查中,选择要与保护关联的运行状况检查的 ID。

    注意

    如果您没有看到所需的运行状况检查,请转到 Route 53 控制台并验证运行状况检查及其 ID。有关信息,请参阅创建和更新运行状况检查

  2. 选择 Next (下一步)

Shield 高级运行状况检查状态设

与保护关联的运行状况检查的状态可以在 Shield 控制台中具有以下值:

  • 正常— 运行状况检查可用且报告运行状况正常。

  • 不健康— 运行状况检查可用且报告运行状况不佳。

  • Unavailable— 运行状况检查不可供高级 Shield 使用。要解决此问题,请先取消运行状况检查与 Shield Advanced 中的保护的关联。然后,在 Route 53 中,为保护创建新的运行状况检查并记下其 ID。最后,请按照本主题中介绍的过程将新的运行状况检查与保护相关联。请勿尝试重新关联已不可用的运行状况检查。

创建警报和通知

以下过程显示如何管理受保护资源的 CloudWatch 警报。

注意

CloudWatch 将产生额外费用。有关 CloudWatch 定价,请参阅Amazon CloudWatch 定价.

创建警报和通知

  1. 在保护页面创建警报和通知-optional中,为要接收的警报和通知配置 SNS 主题。对于不想接收通知的资源,请选择 No topic (无主题)。您可以添加 Amazon SNS 主题或创建新主题。

  2. 要创建 Amazon SNS 主题,请执行以下步骤:

    1. 在下拉列表中,选择创建 SNS 主题.

    2. 输入主题名称。

    3. (可选)输入 Amazon SNS 消息将发送到的电子邮件地址,然后选择添加电子邮件. 可以输入多个。

    4. 选择创建

  3. 选择 Next (下一步)