使用 AWS WAF 配置应用程序层(第 7 层)DDoS 保护 - AWS WAF、AWS Firewall Manager、AWS Shield Advanced 和 AWS Shield 网络安全分析器

介绍 AWS WAF 的全新控制台体验

现在,您可以使用更新后的体验访问控制台中任意位置的 AWS WAF 功能。有关更多详细信息,请参阅 使用更新的控制台体验

使用 AWS WAF 配置应用程序层(第 7 层)DDoS 保护

本页提供了使用 AWS WAF web ACL 配置应用程序层保护的说明。

要保护应用程序层资源,Shield Advanced 从基于速率的规则的 AWS WAF web ACL 着手。AWS WAF 是一种 web 应用程序防火墙,允许您监视转发到您的应用程序层资源的 HTTP 和 HTTPS 请求,并根据请求的特征控制对您的内容的访问。基于速率的规则根据您的请求聚合条件限制流量,从而为您的应用程序提供基本的 DDoS 保护。有关更多信息,请参阅AWS WAF 的工作原理在 AWS WAF 中使用基于速率的规则语句

您还可以选择启用 Shield Advanced 自动应用层 DDoS 缓解功能,以允许来自已知 DDoS 源的 Shield Advanced 速率限制请求,并自动为您提供特定于事件的保护。

重要

如果您通过 AWS Firewall Manager 使用 Shield Advanced 策略来管理 Shield Advanced 保护,则无法在此处管理应用程序层保护。必须在 Firewall Manager Shield Advanced 策略中对其进行管理。

Shield Advanced 订阅和 AWS WAF 费用

您的 Shield Advanced 订阅涵盖了为您使用 Shield Advanced 保护的资源使用标准 AWS WAF 功能的费用。Shield Advanced 保护所涵盖的标准 AWS WAF 费用包括每个保护包(web ACL)的费用、每条规则的费用以及每百万个 web 请求检查的基本价格,最多 1500 个 WCU,不超过默认正文大小。

启用 Shield Advanced 自动应用程序层 DDoS 缓解会向使用 150 个保护包(web ACL)容量单位(WCU)的 web ACL 中添加一个规则组。这些 WCU 会计入保护包(web ACL)中的 WCU 使用量。有关更多信息,请参阅使用 Shield Advanced 自动化应用程序层 DDoS 缓解 使用 Shield Advanced 规则组保护应用程序层AWS WAF 中的 Web ACL 容量单位(WCU)数

您的 Shield Advanced 订阅不包括对未使用 Shield Advanced 进行保护的资源使用 AWS WAF。它也不包括受保护资源的任何额外非标准 AWS WAF 成本。非标准 AWS WAF 成本的示例包括机器人控制功能、CAPTCHA 规则操作、使用 1500 个以上 WCU 的 web ACL 以及检查超出默认正文大小的请求正文的成本。AWS WAF 定价页面上提供了完整的列表。您对 Shield Advanced 的订阅包括对第 7 层反 DDoS 防护 Amazon 托管规则组的访问权限。作为订阅的一部分,您将在一个日历月内收到最多 500 亿个 Shield Advanced 受保护 AWS WAF 资源的请求。超过 500 亿的请求将根据 AWS Shield Advanced 定价页面进行计费。

有关完整信息和定价示例,请参阅 Shield 定价AWS WAF 定价

为某个区域配置第 7 层 DDoS 保护

Shield Advanced 允许您选择性地为所选资源所在的每个区域配置第 7 层 DDoS 缓解措施。如果您要在多个区域添加保护,则向导将引导您完成每个区域的以下步骤。

  1. 配置第 7 层 DDoS 保护页面列出了所有尚未与 web ACL 关联的资源。对于每个资源,您可以选择现有 web ACL,活着创建一个新的 web ACL。对于任何已经关联的 web ACL 的资源,您可以先通过 AWS WAF 取消关联当前的 web ACL,以更改 web ACL。有关更多信息,请参阅 将保护与 AWS 资源关联或取消关联

    对于还没有基于速率的规则的 web ACL,配置向导会提示您添加一个规则。当 IP 地址发送大量请求时,基于速率的规则会限制来自这些地址的流量。基于速率的规则有助于保护您的应用程序免受 web 请求泛洪的侵害,并可以提供有关流量突然激增的警报,提示您可能存在 DDoS 攻击。选择添加速率限制规则,然后提供速率限制和规则操作,将基于速率的规则添加到 web ACL。您可以通过 AWS WAF 在 web ACL 中配置其他保护。

    有关在 Shield Advanced 保护中使用 web ACL 和基于速率的规则(包括基于速率的规则的其他配置选项)的信息,请参阅 使用 AWS WAF Web ACL 和 Shield Advanced 保护应用程序层

  2. 对于应用程序层 DDoS 自动缓解,如果您想让 Shield Advanced 自动缓解针对您的应用程序层资源的 DDoS 攻击,请选择启用,然后选择希望 Shield Advanced 在其自定义规则中使用的 AWS WAF 规则操作。此设置适用于您在向导会话中管理的资源的所有 web ACL。

    通过自动应用层 DDoS 缓解,Shield Advanced 在资源的 AWS WAF web ACL 中维护基于速率的规则,该规则限制了来自已知 DDoS 来源的请求量。此外,Shield Advanced 将当前流量模式与历史流量基线进行比较,以检测可能表明 DDoS 攻击的偏差。当 Shield Advanced 检测到 DDoS 攻击时,它将通过创建、评估和部署自定义 AWS WAF 规则来进行响应。您可以指定自定义规则是计数还是代表您阻止攻击。

    注意

    应用程序层 DDoS 自动缓解仅适用于使用最新版本 AWS WAF(v2)创建的保护包(web ACL)。

    有关 Shield Advanced 自动应用程序层 DDoS 缓解的更多信息,包括使用此功能的注意事项和最佳实践,请参阅 使用 Shield Advanced 自动化应用程序层 DDoS 缓解

  3. 选择下一步。控制台向导将进入运行状况检测页面。