使用 Shield Advanced 规则组保护应用程序层 - AWS WAF、AWS Firewall Manager、AWS Shield Advanced 和 AWS Shield 网络安全分析器

介绍 AWS WAF 的全新控制台体验

现在,您可以使用更新后的体验访问控制台中任意位置的 AWS WAF 功能。有关更多详细信息,请参阅 使用更新的控制台体验

使用 Shield Advanced 规则组保护应用程序层

本页介绍了 Shield Advanced 规则组如何在 Web ACL 中工作。

Shield Advanced 使用规则组中它拥有和为您管理的规则来管理自动缓解活动。Shield Advanced 在 Web ACL 中引用具有与受保护资源关联的规则的规则组。

Web ACL 中的规则组规则

您的 Web ACL 中的 Shield Advanced 规则组规则具有下列属性:

  • 名称ShieldMitigationRuleGroup_account-id_web-acl-id_unique-identifier

  • Web ACL 容量单位 (WCU) 数:150。这些 WCU 会计入您的 Web ACL 中的 WCU 使用量。

Shield Advanced 在您的 Web ACL 中创建优先级设置为 10,000,000 的此规则,这样它就可以在 Web ACL 中的其他规则和规则组之后运行。AWS WAF 从最低数值优先级设置向上运行 Web ACL 中的规则。在管理 Web ACL 期间,此优先级设置可能会发生变化。

除了 Web ACL 中的规则组使用的 WCU 之外,自动缓解功能不会消耗您账户中的任何其他 AWS WAF 资源。例如,Shield Advanced 规则组不算作您账户的规则组之一。有关 AWS WAF 中账户限制的信息,请参阅 AWS WAF 限额

规则组中的规则

在引用的 Shield Advanced 规则组中,Shield Advanced 维护一个基于速率的规则 ShieldKnownOffenderIPRateBasedRule,该规则限制来自已知为 DDoS 攻击来源的 IP 地址的请求量。此规则是抵御任何攻击的第一道防线,因为它始终存在于规则组中,并且不依赖对流量模式的分析来遏制攻击。与规则组中的其他规则一样,此规则的操作设置为您为自动缓解选择的操作。有关基于速率的规则的更多信息,请参阅 在 AWS WAF 中使用基于速率的规则语句

注意

基于速率的规则的 ShieldKnownOffenderIPRateBasedRule 独立于 Shield Advanced 事件检测运行。启用自动缓解后,此规则对已知为 DDoS 攻击来源的 IP 地址进行速率限制。对于这些 IP 地址,此规则的速率限制可以防范攻击,并且还可以防止攻击出现在 Shield Advanced 检测信息中。这种权衡有利于预防,而不是为了完全了解攻击模式。

除了上述的永久基于速率的规则外,该规则组还包含 Shield Advanced 当前用于缓解 DDoS 攻击的任何规则。Shield Advanced 根据需要添加、修改和删除这些规则。有关信息,请参阅Shield Advanced 如何管理自动缓解

指标

该规则组生成 AWS WAF 指标,但由于规则组归 Shield Advanced 所有,因此无法查看这些指标。有关更多信息,请参阅 AWS WAF 指标和维度