引入全新的主机体验 Amazon WAF
现在,您可以使用更新的体验访问控制台中任意位置的 Amazon WAF 功能。有关更多详细信息,请参阅使用控制台。
本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
应用程序负载均衡器的资源级 DDo S 保护
资源级别 DDo S 保护可为应用程序负载均衡器提供即时防御,而不会产生部署 Amazon WAF 托管规则组的费用。这个标准的 Anti-DDo S 防护层使用 Amazon 威胁情报和流量模式分析来保护应用程序负载均衡器。为了识别已知的恶意来源,Anti-DDo S 保护会在主机上对直接客户端 IP 地址和 X-Forwarded-For (XFF) 标头进行过滤。识别已知的恶意来源后,将通过以下两种模式之一激活保护:
在 DDo S 下激活是默认的保护模式,建议在大多数用例中使用。
此模式:
-
在检测到高负载条件或潜在的 DDo S 事件时自动激活保护
-
仅在攻击状况下对已知恶意来源的流量实施速率限制
-
最大限度地减少常规操作期间对合法流量的影响
-
使用 Application Load Balancer 运行状况指标和 Amazon WAF 响应数据来确定何时使用保护
始终开启是一种可选模式,启用后将持续处于激活状态。
此模式:
-
持续防范已知的恶意来源
-
实时限制已知恶意来源的流量
-
对直接连接和 IPs 在 XFF 标头中包含恶意的请求应用保护
-
可能对合法流量产生更大影响,但能提供最高级别的安全性
在现有 WebACL 上启用标准 DDo S 保护
您可以在创建 Web ACL 或更新与 Application Load Balancer 关联的现有 Web ACL 时启用 DDo S 保护。
注意
如果您有与 Application Load Balancer 关联的现有 Web ACL,则默认情况下会启用 Anti-DDo S 保护,在 DDo S 模式下处于活动状态。
在 Amazon WAF 控制台中启用 Ant DDo i-S 防护
登录 Amazon Web Services 管理控制台 并在 https://console.aws.amazon.com/wafv2/homev
2 上打开主 Amazon WAF 机。 -
在导航窗格 ACLs中选择 Web,然后打开与 Application Load Balancer 关联的任何 Web ACL。
-
选择 “关联 Amazon 资源”。
-
在 “资源级别 DDo S 保护” 下,选择 “编辑”。
-
选择以下一种防护模式:
-
在 DDo S 下处于活动状态(推荐)-保护仅在高负载条件下开启
-
始终开启:针对已知的恶意来源提供全天候保护
-
-
选择保存更改。
注意
有关创建 web ACL 的信息,请参阅在中创建保护包 (Web ACL) Amazon WAF。
优化应用程序负载均衡器的 web ACL 请求成本
您必须将 web ACL 与应用程序负载均衡器关联才能启用资源级防护。如果您的 Application Load Balancer 与没有配置的 Web ACL 关联,则不会因 Amazon WAF 请求而产生费用,但 Amazon WAF 不会提供抽样请求或以指标形式报告应用程序负载均衡器。 CloudWatch 您可以采取以下操作,为应用程序负载均衡器启用可观测性功能:
-
在
DefaultAction中使用带自定义请求标头的Block操作或Allow操作。有关信息,请参阅为非阻止操作插入自定义请求标头。 -
将任何规则添加到 web ACL。有关信息,请参阅Amazon WAF 规则。
-
启用日志记录目标。有关信息,请参阅为保护包(web ACL)配置日志记录。
-
将 Web ACL 与 Amazon Firewall Manager 策略关联。有关信息,请参阅为创建 Amazon Firewall Manager 策略 Amazon WAF。
Amazon WAF 如果没有这些配置,将不会提供抽样请求或发布 CloudWatch 指标。