介绍 Amazon WAF 的全新控制台体验
现在,您可以使用更新后的体验访问控制台中任意位置的 Amazon WAF 功能。有关更多详细信息,请参阅 使用更新的控制台体验。
应用程序负载均衡器的资源级 DDoS 防护
资源级 DDoS 防护可为应用程序负载均衡器提供即时防御,而不会产生部署 Amazon WAF 托管规则组的费用。此标准层级的反 DDoS 防护使用 Amazon 威胁情报和流量模式分析,以保护应用程序负载均衡器。为识别已知的恶意来源,反 DDoS 防护会对直接客户端 IP 地址和 X-Forwarded-For(XFF)标头进行主机筛选。识别已知的恶意来源后,将通过以下两种模式之一激活保护:
在 DDoS 下激活是默认的保护模式,建议用于大多数使用案例。
此模式:
-
在检测到高负载状况或潜在的 DDoS 事件时自动激活保护
-
仅在攻击状况下对已知恶意来源的流量实施速率限制
-
最大限度地减少常规操作期间对合法流量的影响
-
使用应用程序负载均衡器运行状况指标和 Amazon WAF 响应数据,确定何时使用保护
始终开启是一种可选模式,启用后将持续处于激活状态。
此模式:
-
持续防范已知的恶意来源
-
实时限制已知恶意来源的流量
-
同时保护直接连接和 XFF 标头中带恶意 IP 的请求
-
可能对合法流量产生更大影响,但能提供最高级别的安全性
在现有 web ACL 上启用标准 DDoS 防护
您可以在创建 web ACL 或更新与应用程序负载均衡器关联的现有 web ACL 时启用 DDoS 防护。
注意
如果您有与应用程序负载均衡器关联的现有 web ACL,则默认启用使用在 DDoS 下激活模式的反 DDoS 防护。
在 Amazon WAF 控制台中启用反 DDoS 防护
登录到 Amazon Web Services 管理控制台,然后打开 Amazon WAF 控制台,网址为:https://console.aws.amazon.com/wafv2/homev2
。 -
在导航窗格中选择 Web ACL,然后打开与应用程序负载均衡器关联的任何 web ACL。
-
选择关联的 Amazon 资源。
-
在资源级 DDoS 防护下,选择编辑。
-
选择以下一种防护模式:
-
在 DDoS 下激活(推荐):防护功能仅在高负载条件下启动
-
始终开启:针对已知的恶意来源提供全天候保护
-
-
选择保存更改。
注意
有关创建 web ACL 的信息,请参阅在 Amazon WAF 中创建保护包(web ACL)。
优化应用程序负载均衡器的 web ACL 请求成本
您必须将 web ACL 与应用程序负载均衡器关联才能启用资源级防护。如果应用程序负载均衡器与未配置的 web ACL 关联,则您无需支付 Amazon WAF 请求的费用,但 Amazon WAF 不会在 CloudWatch 指标中提供采样请求或报告应用程序负载均衡器指标。您可以采取以下操作,为应用程序负载均衡器启用可观测性功能:
-
在
DefaultAction中使用带自定义请求标头的Block操作或Allow操作。有关信息,请参阅 为非阻止操作插入自定义请求标头。 -
将任何规则添加到 web ACL。有关信息,请参阅 Amazon WAF 规则。
-
启用日志记录目标。有关信息,请参阅 为保护包(web ACL)配置日志记录。
-
将 web ACL 与 Amazon Firewall Manager 策略相关联。有关信息,请参阅 为 Amazon Firewall Manager 创建Amazon WAF策略。
如果没有这些配置,Amazon WAF 将不会提供采样请求或发布 CloudWatch 指标。