**引入全新的主机体验 AWS WAF**
现在,您可以使用更新的体验访问控制台中任意位置的 AWS WAF 功能。有关更多详细信息,请参阅[使用控制台](https://docs.aws.amazon.com/waf/latest/developerguide/working-with-console.html)。
本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 中的资源保护 AWS Shield Advanced
您可以为资源添加和配置 AWS Shield Advanced 保护。您可以管理单个资源的保护,也可以将受保护的资源分组归入逻辑集合,以便更好地管理事件。您还可以使用跟踪对您的 Shield 高级保护的更改 AWS Config。
**注意**
Shield Advanced 仅保护你在 Shield Advanced 中或通过 Shi AWS Firewall Manager eld Advanced 策略指定的资源。它不会自动保护您的资源。
如果您使用的是 AWS Firewall Manager Shield Advanced 策略,则无需管理针对该政策范围内的资源的保护。Firewall Manager 会根据策略配置自动管理对策略范围内的账户和资源的保护。有关更多信息,请参阅 [在 Firewall Manager 中使用 AWS Shield Advanced 策略](shield-policies.md)。
**Topics**
+ [AWS Shield Advanced 可保护的资源列表](ddos-protections-by-resource-type.md)
+ [使用 Shield Advanced 保护亚马逊 EC2 实例和网络负载均衡器](ddos-protections-ec2-nlb.md)
+ [使用和保护应用层(第 7 层) AWS Shield Advanced AWS WAF](ddos-app-layer-protections.md)
+ [使用 Shield Advanced 和 Route 53 进行运行状况检测](ddos-advanced-health-checks.md)
+ [为 AWS 资源添加 AWS Shield Advanced 保护](configure-new-protection.md)
+ [编辑 AWS Shield Advanced 保护](manage-protection.md)
+ [为采用 Shield Advanced 保护的资源创建警报和通知](add-alarm-ddos.md)
+ [移除对 AWS 资源的 AWS Shield Advanced 保护](remove-protection.md)
+ [对您的 AWS Shield Advanced 保护进行分组](ddos-protection-groups.md)
+ [Tracking Shield 中的高级资源保护变化 AWS Config](ddos-add-config.md)
# AWS Shield Advanced 可保护的资源列表
此部分提供有关每种资源类型的 Shield Advanced 保护的信息。
Shield Advanced 可保护网络和传输层(第 3 层和第 4 层)以及应用层(第 7 层)中的 AWS 资源。您可以直接保护某些资源,也可以通过与受保护的资源关联来保护其他资源。Shield Advanced 支持 IPv4,但不支持 IPv6。
**注意**
Shield Advanced 仅保护您在 Shield Advanced 中或通过 AWS Firewall Manager Shield Advanced 策略指定的资源。它不会自动保护您的资源。
您可以使用 Shield Advanced 对以下资源类型进行高级监控和保护:
+ 亚马逊 CloudFront 配送。为了 CloudFront 持续部署,Shield Advanced 可以保护与受保护的主发行版关联的所有暂存分发。
+ Amazon Route 53 托管区。
+ AWS Global Accelerator 标准加速器。
+ 亚马逊 EC2 弹性 IP 地址。Shield Advanced 可保护与受保护的弹性 IP 地址关联的资源。
+ 亚马逊 EC2 实例,通过关联亚马逊 EC2 弹性 IP 地址。
+ 以下弹性负载均衡(ELB)负载均衡器:
+ 应用程序负载均衡器。
+ 经典负载均衡器。
+ 网络负载均衡器,通过与 Amazon EC2 弹性 IP 地址的关联。
**注意**
您无法使用 Shield Advanced 来保护任何其他资源类型。例如,您无法保护 AWS Global Accelerator 自定义路由加速器或网关负载均衡器。
**注意**
NAT 网关仅处理出站流量,而 Shield Advanced 可防范入站 DDo S。要保护出站流量,请使用[AWS Network Firewall](https://docs.aws.amazon.com//network-firewall/latest/developerguide/what-is-aws-network-firewall.html)。
针对每个 AWS 账户,每种资源类型最多可监控和保护 1,000 个资源。例如,在一个账户中,您可以保护 1,000 个 Amazon EC2 弹性 IP 地址、1,000 个 CloudFront 分配和 1,000 个应用程序负载均衡器。您可以通过 Service Quotas 控制台请求增加可以使用 Shield Advanced 保护的资源数量,网址为[https://console.aws.amazon.com/servicequotas/](https://console.aws.amazon.com/servicequotas/)。
# 使用 Shield Advanced 保护亚马逊 EC2 实例和网络负载均衡器
本页介绍如何对 Amazon EC2 实例和网络负载均衡器使用 AWS Shield Advanced 保护。
您可以保护 Amazon EC2 实例和网络负载均衡器,方法是先将这些资源附加到弹性 IP 地址,然后在 Shield Advanced 中保护弹性 IP 地址。
当您保护弹性 IP 地址时,Shield Advanced 会识别和保护它们所连接的资源。Shield Advanced 会自动识别附加到弹性 IP 地址的资源类型,并对该资源应用适当的检测和缓解措施。这包括配置特定 ACLs 于弹性 IP 地址的网络。有关使用弹性 IP 地址与 AWS 资源的更多信息,请参阅下述指南:[Amazon Elastic Compute Cloud 文档](https://docs.aws.amazon.com/ec2/)或 [弹性负载均衡文档](https://docs.aws.amazon.com/elasticloadbalancing/)。
攻击期间,Shield Advanced 会自动将您的网络部署 ACLs 到 AWS 网络边界。当您的网络 ACLs 处于网络边界时,Shield Advanced 可以针对较大的 DDo S 事件提供保护。通常,网络应用 ACLs 于您的亚马逊 VPC 内的亚马逊 EC2 实例附近。网络 ACL 只能缓解您的 Amazon VPC 和实例可以处理的攻击。例如,如果连接到您的 Amazon EC2 实例的网络接口可以处理高达 10 Gbps 的速度,则超过 10 Gbps 的卷将减慢速度,并可能阻塞该实例的流量。在攻击期间,Shield Advanced 会将您的网络 ACL 提升至 AWS 边界以处理多个 TB 的流量。您的网络 ACL 能够为您的资源提供超出您的网络典型容量的保护。有关网络的更多信息 ACLs,请参阅[网络ACLs](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_ACLs.html)。
某些扩展工具(例如 AWS Elastic Beanstalk)不允许您将弹性 IP 地址自动附加到 Network Load Balancer。对于这些情况,您需要手动附加弹性 IP 地址。
# 使用和保护应用层(第 7 层) AWS Shield Advanced AWS WAF
本页介绍了 Shield Advanced 和 Shield 如何协同 AWS WAF 工作以保护应用层(第 7 层)的资源。
要使用 Shield Advanced 保护您的应用程序层资源,首先要将 AWS WAF web ACL 与资源关联,然后向其添加一个或多个基于速率的规则。此外,您还可以启用自动应用层 DDo S 缓解,这会让 Shield Advanced 自动代表您创建和管理 Web ACL 规则,以响应 DDo S 攻击。
当您使用 Shield Advanced 保护应用程序层资源时,Shield Advanced 会分析一段时间内的流量以建立和维护基准。Shield Advanced 使用这些基准来检测流量模式中可能表明 S 攻击的 DDo异常。Shield Advanced 检测到攻击的时间点取决于 Shield Advanced 在攻击之前能够观察到的流量以及您用于 web 应用程序的架构。可能影响 Shield Advanced 行为的架构变化包括您使用的实例类型、实例大小以及实例类型是否支持增强联网。您还可以将 Shield Advanced 配置为自动缓解应用程序层攻击。
**Shield 高级版订阅和 AWS WAF 费用**
您的 Shield Advanced 订阅可支付使用标准 AWS WAF 功能来保护您使用 Shield Advanced 保护的资源的费用。Shield Advanced 保护所涵盖的标准 AWS WAF 费用是每个保护包(Web ACL)的费用、每条规则的费用以及每百万个 Web 请求检查的基本价格,最多 1,500 WCUs 个,不超过默认的主体尺寸。
启用 Shield Advanced 自动应用层 DDo S 缓解会向您的保护包(Web ACL)中添加一个使用 150 个 Web ACL 容量单位的规则组(WCUs)。这些 WCUs 计入您的保护包(Web ACL)中的 WCU 使用量。有关更多信息,请参阅 [使用 Shield Advanced 自动缓解应用层 DDo S](ddos-automatic-app-layer-response.md)、[使用 Shield Advanced 规则组保护应用程序层](ddos-automatic-app-layer-response-rg.md) 和 [Web ACL 容量单位 (WCUs) AWS WAF](aws-waf-capacity-units.md)。
你对 Shield Advanced 的 AWS WAF 订阅不包括使用你无法使用 Shield Advanced 保护的资源。它也不包括受保护资源的任何额外非标准 AWS WAF 成本。非标准 AWS WAF 成本的示例包括 Bot Control、CAPTCHA规则操作、使用量超过 1,500 WCUs 的 Web ACLs 以及检查超出默认正文大小的请求正文。完整列表在 AWS WAF 定价页面上提供。您对 Shield Advanced 的订阅包括访问第 7 层 Anti-DDo S Amazon 托管规则群组的访问权限。作为订阅的一部分,您将在一个日历月内收到多达 500 亿个 Shield Advanced 受保护 AWS WAF 资源的请求。超过 500 亿的请求将根据 AWS Shield Advanced 定价页面进行计费。
有关完整信息和定价示例,请参阅 [Shield 定价](https://aws.amazon.com/shield/pricing/)和 [AWS WAF 定价](https://aws.amazon.com/waf/pricing/)。
**Topics**
+ [使用影响 Shield Advanced 检测和缓解应用程序层事件的因素清单](ddos-app-layer-detection-mitigation.md)
+ [使用 AWS WAF Web ACLs 和 Shield Advanced 保护应用层](ddos-app-layer-web-ACL-and-rbr.md)
+ [使用 AWS WAF 基于速率的规则和 Shield Advanced 保护应用层](ddos-app-layer-rbr.md)
+ [使用 Shield Advanced 自动缓解应用层 DDo S](ddos-automatic-app-layer-response.md)
# 使用影响 Shield Advanced 检测和缓解应用程序层事件的因素清单
本节介绍了影响 Shield Advanced 检测和缓解应用程序层事件的因素。
**运行状况检查**
运行状况检查可以准确报告应用程序的整体运行状况,从而为 Shield Advanced 提供有关应用程序正在经历的流量状况的信息。当应用程序报告运行状况不佳时,Shield Advanced 需要较少指向潜在攻击的信息,应用程序报告运行正常时则需要较多的攻击证据。
务必恰当运行状况检查,以便准确地报告应用程序的运行状况。有关更多信息和指导,请参阅 [使用 Shield Advanced 和 Route 53 进行运行状况检测](ddos-advanced-health-checks.md)。
**流量基准**
流量基准为 Shield Advanced 提供了应用程序的正常流量的特征信息。Shield Advanced 使用这些基准来识别应用程序何时未收到正常流量,以便为您提供通知,并根据配置开始设计和测试缓解选项来抵御潜在的攻击。有关 Shield Advanced 如何使用流量基准检测潜在事件的更多信息,请参阅概述部分 [应用程序层威胁(第 7 层)的 Shield Advanced 检测逻辑](ddos-event-detection-application.md)。
Shield Advanced 通过与受保护资源关联的 Web ACL 提供的信息来创建其基准。Web ACL 必须与资源关联至少 24 小时至 30 天,然后 Shield Advanced 才能可靠地确定应用程序的基准。所需时间从您关联 Web ACL 时开始算起,无论是通过 Shield Advanced 还是通过 AWS WAF。
有关结合使用 Web ACL 和 Shield Advanced 应用程序层保护的更多信息,请参阅 [使用 AWS WAF Web ACLs 和 Shield Advanced 保护应用层](ddos-app-layer-web-ACL-and-rbr.md)。
**基于速率的规则**
基于速率的规则可以帮助缓解攻击。这些规则还可以隐藏攻击,它们在攻击成为足够大的问题以至于出现在正常流量基线或运行状况检查状态报告中之前对其进行缓解。
当使用 Shield Advanced 保护应用程序资源时,我们建议在 Web ACL 中使用基于速率的规则。尽管这些规则的缓解措施可以隐藏潜在的攻击,但它们充当了宝贵的第一道防线,有助于确保应用程序可供合法的客户使用。基于速率的规则检测到并施加速率限制的流量在 AWS WAF 指标中是可见的。
除了您自己的基于速率的规则外,如果您启用自动应用层 DDo S 缓解,Shield Advanced 还会在您的 Web ACL 中添加一个规则组,用于缓解攻击。在此规则组中,Shield Advanced 始终采用基于速率的规则,该规则限制了来自已知是 DDo S 攻击来源的 IP 地址的请求量。您无法看到 Shield Advanced 规则缓解的流量指标。
有关基于速率的规则的更多信息,请参阅 [在中使用基于费率的规则语句 AWS WAF](waf-rule-statement-type-rate-based.md)。有关 Shield Advanced 用于自动缓解应用层 DDo S 的基于速率的规则的信息,请参阅[使用 Shield Advanced 规则组保护应用程序层](ddos-automatic-app-layer-response-rg.md)。
有关 Shield Advanced 和 AWS WAF 指标的更多信息,请参阅[使用 Amazon 进行监控 CloudWatch](monitoring-cloudwatch.md)。
# 使用 AWS WAF Web ACLs 和 Shield Advanced 保护应用层
本页介绍了 AWS WAF web ACLs 和 Shield Advanced 如何协同工作以创建基本的应用层保护。
要使用 Shield Advanced 保护应用层资源,首先要将 AWS WAF Web ACL 与该资源关联。 AWS WAF 是一个 Web 应用程序防火墙,允许您监控转发到应用层资源的 HTTP 和 HTTPS 请求,并允许您根据请求的特征控制对内容的访问权限。您可以配置 Web ACL,根据请求的来源、查询字符串和 Cookie 的内容以及来自单个 IP 地址的请求速率等因素来监控和管理请求。要进行 Shield Advanced 保护,您至少要将 Web ACL 与基于速率的规则相关联,该规则限制了每个 IP 地址的请求速率。
如果关联的 Web ACL 没有定义基于速率的规则,Shield Advanced 会提示您定义至少一个规则。当流量超过您定义的阈值 IPs时,基于速率的规则会自动阻止来自来源的流量。它们有助于保护您的应用程序免受 Web 请求洪水的侵害,并可以提供有关流量突然激增的警报,这可能表明可能存在 DDo S 攻击。
**注意**
基于速率的规则以非常快的速度响应规则监控的流量峰值。因此,基于速率的规则不仅可以防止攻击,还可以由 Shield Advanced 检测潜在的攻击。这种权衡有利于预防,而不是为了完全了解攻击模式。我们建议使用基于速率的规则作为抵御“攻击”的第一道防线。
建立 Web ACL 后,如果发生 DDo S 攻击,您可以通过在 Web ACL 中添加和管理规则来采取缓解措施。您可以在 Shield 响应小组 (SRT) 的协助下直接执行此操作,也可以通过自动应用层 DDo S 缓解来自动执行此操作。
**重要**
如果您还使用自动应用层 DDo S 缓解措施,请参阅管理 Web ACL 的最佳实践,网址为[使用自动应用层 DDo S 缓解措施的最佳实践](ddos-automatic-app-layer-response-bp.md)。
有关使用 AWS WAF 管理 Web 请求监控和管理规则的信息,请参阅[在中创建保护包 (Web ACL) AWS WAF](web-acl-creating.md)。
# 使用 AWS WAF 基于速率的规则和 Shield Advanced 保护应用层
本页介绍 AWS WAF 基于速率的规则和 Shield Advanced 如何协同工作以创建基本的应用层保护。
当您使用默认配置的基于速率的规则时, AWS WAF 会定期评估前 5 分钟时间段内的流量。 AWS WAF 阻止来自超过规则阈值的任何 IP 地址的请求,直到请求速率降至可接受的水平。通过 Shield Advanced 配置基于速率的规则时,请将其速率阈值配置为一个高于任何五分钟时间窗口内任何一个源 IP 的正常流量速率的值。
您可能希望在 Web ACL 中使用多个基于速率的规则。例如,您可以为所有具有高阈值的流量设置一个基于速率的规则,外加一个或多个其他规则,这些规则配置为与您的 Web 应用程序的选定部分相匹配且阈值较低。例如,您可以对阈值较低的 URI `/login.html` 进行匹配,以减少对登录页面的滥用行为。
可以将基于速率的规则配置为使用不同的评估时间窗口,并根据多个请求组件(例如标头值、标签和查询参数)来聚合请求。有关更多信息,请参阅 [在中使用基于费率的规则语句 AWS WAF](waf-rule-statement-type-rate-based.md)。
有关更多信息和指导,请参阅安全博客文章[《三个最重要的 AWS WAF 基于费率的规则》](https://aws.amazon.com/blogs/security/three-most-important-aws-waf-rate-based-rules/)。
**通过以下方式扩展了配置选项 AWS WAF**
Shield Advanced 控制台允许您添加基于速率的规则,并使用基本的默认设置对其进行配置。您可以通过管理基于费率的规则来定义其他配置选项。 AWS WAF例如,您可以将规则配置为根据键聚合请求,例如根据转发的 IP 地址、查询字符串和标签。您还可以在规则中添加范围缩小语句,从评估和速率限制中筛选出一些请求。有关更多信息,请参阅 [在中使用基于费率的规则语句 AWS WAF](waf-rule-statement-type-rate-based.md)。
# 使用 Shield Advanced 自动缓解应用层 DDo S
**注意**
从 2026 年 3 月 26 日起,的反 DDo S 托管规则组(Anti-S AMR) AWS WAF 将成为防御 HTTP 请求洪水攻击的默认解决方案(参见 [Anti-DDo S AM](https://aws.amazon.com/blogs/networking-and-content-delivery/introducing-the-aws-waf-application-layer-ddos-protection/) R 发布博客)。它取代了第 7 层自动缓解 (L7AM) 功能。如果您是 Shield Advanced 的现有客户,则可以继续对现有账户或新 AWS 账户使用旧版解决方案。但是,我们鼓励您采用 Anti-DDo S 托管规则组。Anti-DDo S 托管规则组可在几秒钟而不是几分钟内检测并缓解攻击。如果您是 Shield Advanced 的新客户,并且需要访问旧版解决方案,请联系 Supp AWS ort。
本页介绍了自动应用层 DDo S缓解的主题,并列出了相关的注意事项。
您可以将 Shield Advanced 配置为自动响应,通过计算或阻止作为攻击一部分的 web 请求来缓解针对受保护应用程序层资源的应用程序层(第 7 层)攻击。此选项是您通过Shield Advanced添加的应用层保护的补充,该保护具有 AWS WAF Web ACL和您自己的基于速率的规则。
当为资源启用自动缓解时,Shield Advanced 会在资源的关联 web ACL 中维护一个规则组,在这里,它代表资源管理缓解规则。该规则组包含一个基于速率的规则,用于跟踪来自已知是 DDo S 攻击来源的 IP 地址的请求量。
此外,Shield Advanced 将当前流量模式与历史流量基线进行比较,以检测可能表明 DDo S 攻击的偏差。Shield Advanced 通过在规则组中创建、评估和部署其他自定义 AWS WAF 规则来响应检测到的 DDo S 攻击。
## 使用自动应用层 DDo S 缓解措施的注意事项
以下列表描述了 Shield Advanced 自动应用层 DDo S 缓解的注意事项,并描述了您可能需要采取的响应步骤。
+ 自动应用层 DDo S 缓解仅适用于使用最新版本 (v2 ACLs) 创建的保护包 AWS WAF (Web)。
+ Shield Advanced 需要时间为应用程序建立正常历史流量基准,并利用该基准来检测攻击流量并将其与正常流量隔离,从而缓解攻击流量。建立基准的时间介于 24 小时到 30 天之间,从将 web ACL 与受保护的应用程序资源关联时算起。有关流量基准的其他信息,请参阅 [使用影响 Shield Advanced 检测和缓解应用程序层事件的因素清单](ddos-app-layer-detection-mitigation.md)。
+ 启用自动应用层 DDo S 缓解会向您的保护包 (Web ACL) 中添加一个使用 150 个 Web ACL 容量单位的规则组 (WCUs)。这些 WCUs 计入您的保护包(Web ACL)中的 WCU 使用量。有关更多信息,请参阅[使用 Shield Advanced 规则组保护应用程序层](ddos-automatic-app-layer-response-rg.md)和[Web ACL 容量单位 (WCUs) AWS WAF](aws-waf-capacity-units.md)。
+ Shield Advanced 规则组会生成 AWS WAF 指标,但这些指标不可查看。这与您在保护包 (Web ACL) 中使用但不拥有的任何其他规则组相同,例如 AWS 托管规则规则组。有关 AWS WAF 指标的更多信息,请参阅[AWS WAF 指标和维度](waf-metrics.md)。有关该 Shield Advanced 保护选项的信息,请参阅 [使用 Shield Advanced 自动缓解应用层 DDo S](#ddos-automatic-app-layer-response)。
+ 对于保护多个资源的网络 ACLs ,自动缓解仅部署不会对任何受保护资源产生负面影响的自定义缓解措施。
+ 从 DDo S 攻击开始到 Shield Advanced 放置自定义自动缓解规则的时间因每个事件而异。某些 DDo S 攻击可能会在部署自定义规则之前结束。当缓解措施已经到位时,可能会发生其他攻击,因此可能会从该事件开始就通过这些规则来缓解。此外,web ACL 和 Shield Advanced 规则组中基于速率的规则可以在攻击流量作为可能的事件进行检测之前对其进行缓解。
+ 对于通过内容分发网络 (CDN)(例如 Ama CloudFront zon)接收任何流量的应用程序负载均衡器,Shield Advanced 针对这些应用程序负载均衡器资源的应用程序层自动缓解能力将降低。Shield Advanced 使用客户端流量属性来识别攻击流量并将其与普通流量隔离到您的应用程序,并且 CDNs 可能不会保留或转发原始客户端流量属性。如果您使用 CloudFront,我们建议您在 CloudFront 发行版上启用自动缓解功能。
+ 自动应用层 DDo S 缓解不会与保护组交互。您可以为保护组中的资源启用自动缓解,但是 Shield Advanced 不会根据保护组的调查发现自动应用攻击缓解措施。Shield Advanced 会对单个资源进行自动攻击缓解。
**Contents**
+ [使用自动应用层 DDo S 缓解措施的注意事项](#ddos-automatic-app-layer-response-caveats)
+ [使用自动应用层 DDo S 缓解措施的最佳实践](ddos-automatic-app-layer-response-bp.md)
+ [启用自动应用层 DDo S 缓解措施](ddos-automatic-app-layer-response-config.md)
+ [在启用自动缓解时发生的情况](ddos-automatic-app-layer-response-config.md#ddos-automatic-app-layer-response-enable)
+ [Shield Advanced 如何管理自动缓解](ddos-automatic-app-layer-response-behavior.md)
+ [Shield Advanced 如何通过自动缓解来响应 DDo S 攻击](ddos-automatic-app-layer-response-behavior.md#ddos-automatic-app-layer-response-ddos-attack)
+ [Shield Advanced 如何管理规则操作设置](ddos-automatic-app-layer-response-behavior.md#ddos-automatic-app-layer-response-rule-action)
+ [攻击消退后 Shield Advanced 如何管理缓解措施](ddos-automatic-app-layer-response-behavior.md#ddos-automatic-app-layer-response-after-attack)
+ [在禁用自动缓解时发生的情况](ddos-automatic-app-layer-response-behavior.md#ddos-automatic-app-layer-response-disable)
+ [使用 Shield Advanced 规则组保护应用程序层](ddos-automatic-app-layer-response-rg.md)
+ [查看资源的自动应用层 DDo缓解配置](view-automatic-app-layer-response-configuration.md)
+ [启用和禁用自动应用层 DDo S 缓解措施](enable-disable-automatic-app-layer-response.md)
+ [更改用于自动应用层 DDo S 缓解的操作](change-action-of-automatic-app-layer-response.md)
+ [AWS CloudFormation 与自动应用层 DDo S 缓解一起使用](manage-automatic-mitigation-in-cfn.md)
# 使用自动应用层 DDo S 缓解措施的最佳实践
使用自动缓解时,请遵守本节中提供的指导。
**一般保护管理**
在规划和实施自动缓解保护时,请遵循以下指南。
+ 通过 Shield Advanced 管理所有自动缓解保护,或者如果你使用 AWS Firewall Manager 管理你的 Shield Advanced 自动缓解设置,也可以通过 Firewall Manager 管理所有自动缓解保护。在管理这些保护时,请勿将 Shield Advanced 和 Firewall Manager 混用。
+ 使用相同的 Web ACLs 和保护设置管理相似的资源,使用不同的 Web ACLs 管理不同的资源。当 Shield Advanced 缓解对受保护资源的 DDo S 攻击时,它会为与该资源关联的 Web ACL 定义规则,然后针对与 Web ACL 关联的所有资源的流量测试规则。只有在规则不会对任何相关资源产生负面影响的情况下,Shield Advanced 才会应用这些规则。有关更多信息,请参阅 [Shield Advanced 如何管理自动缓解](ddos-automatic-app-layer-response-behavior.md)。
+ 对于所有互联网流量都通过 Amazon 分配代理的应用程序负载均衡器,仅在 CloudFront分配上启用自动缓解功能。 CloudFront该 CloudFront 发行版将始终拥有最多的原始流量属性,Shield Advanced 利用这些属性来缓解攻击。
**检测和缓解优化**
请遵循以下指导方针,优化自动缓解功能为受保护资源提供的保护。有关应用程序层检测和缓解的概述,请参阅 [使用影响 Shield Advanced 检测和缓解应用程序层事件的因素清单](ddos-app-layer-detection-mitigation.md)。
+ 为受保护的资源配置运行状况检查,并利用这些检查在 Shield Advanced 防护中启用运行状况检测。有关指南,请参阅[使用 Shield Advanced 和 Route 53 进行运行状况检测](ddos-advanced-health-checks.md)。
+ 在Count模式下启用自动缓解,直到 Shield Advanced 为正常的历史流量建立基准。Shield Advanced 需要 24 小时到 30 天的时间来建立基准。
建立正常流量模式的基线需要满足以下条件:
+ Web ACL 与受保护资源关联。您可以 AWS WAF 直接使用关联您的 Web ACL,也可以在启用 Shield 高级应用层保护并指定要使用的 Web ACL 时让 Shield Advanced 将其关联。
+ 正常流量流向受保护的应用程序。如果应用程序没有正常流量,例如在启动应用程序之前或者在长时间缺乏生产流量的情况下,则无法收集历史数据。
**Web ACL 管理**
请遵循以下指导方针来管理使用自动缓解功能的 Web ACLs 。
+ 如果需要替换与受保护资源关联的 Web ACL,请按顺序进行以下更改:
1. 在 Shield Advanced 中,禁用自动缓解。
1. 在中 AWS WAF,取消关联旧的 Web ACL 并关联新的 Web ACL。
1. 在 Shield Advanced 中,启用自动缓解。
Shield Advanced 不会自动将自动缓解措施从旧 Web ACL 转移至新 Web ACL。
+ 不要从您的网站上删除任何 ACLs 名称以开头的规则组规则`ShieldMitigationRuleGroup`。如果确实删除了此规则组,则您将禁用 Shield Advanced 为与 Web ACL 关联的每个资源提供的自动缓解保护。此外,Shield Advanced 可能需要一些时间才能收到更改通知并更新其设置。在此期间,Shield Advanced 控制台页面所提供的信息是不准确的。
有关规则组的更多信息,请参阅 [使用 Shield Advanced 规则组保护应用程序层](ddos-automatic-app-layer-response-rg.md)。
+ 请勿修改名称以 `ShieldMitigationRuleGroup` 开头的规则组规则的名称。该操作可能会干扰 Shield Advanced 自动缓解通过 Web ACL 提供的保护。
+ 创建规则和规则组时,请勿使用以 `ShieldMitigationRuleGroup` 开头的名称。Shield Advanced 使用此字符串来管理您的自动缓解措施。
+ 在管理 Web ACL 规则时,请勿将优先级设置为 10,000,000。Shield Advanced 在添加自动缓解规则组规则时会将该优先级设置分配给该规则。
+ 在Web ACL 的规则中保持 `ShieldMitigationRuleGroup` 规则的优先顺序,使其根据您的需要运行。Shield Advanced 为 Web ACL 添加规则组规则,优先级为 10,000,000,这样它将在其他规则之后运行。如果您使用 AWS WAF 控制台向导来管理 Web ACL,请在向 Web ACL 添加规则后根据需要调整优先级设置。
+ 如果您 AWS CloudFormation 使用管理网页 ACLs,则无需管理`ShieldMitigationRuleGroup`规则组规则。按照 [AWS CloudFormation 与自动应用层 DDo S 缓解一起使用](manage-automatic-mitigation-in-cfn.md) 中的指导进行操作。
# 启用自动应用层 DDo S 缓解措施
本页介绍了如何配置 Shield Advanced 以自动响应应用程序层攻击。
您可以启用 Shield Advanced 自动缓解作为资源应用层 DDo S 保护的一部分。有关在控制台上执行此操作的信息,请参阅 [配置应用层 DDo S 保护](manage-protection.md#configure-app-layer-protection)。
自动缓解功能要求您执行以下操作:
+ 将 **Web ACL 与资源关联**:这是任何 Shield Advanced 应用程序层保护所必需的。您可以对多个资源使用相同的 Web ACL。我们建议仅对流量相似的资源执行此操作。有关 Web 的信息ACLs,包括将其用于多种资源的要求,请参阅[如何 AWS WAF 运作](how-aws-waf-works.md)。
+ **启用和配置 Shield Advanced 自动应用层 DDo S 缓解措施** — 启用此功能后,您可以指定是希望 Shield Advanced 自动阻止还是计算其确定为 DDo S 攻击一部分的 Web 请求。Shield Advanced 将规则组添加到关联的 Web ACL 中,并使用它来动态管理其对资源上的 DDo S 攻击的响应。有关规则操作选项的信息,请参阅 [在中使用规则操作 AWS WAF](waf-rule-action.md)。
+ **(可选,但推荐)在 Web ACL 中添加基于速率的规则**-默认情况下,基于速率的规则可防止任何单个 IP 地址在短时间内发送过多请求,从而为您的资源提供防御 DDo S 攻击的基本保护。有关基于速率的规则(包括自定义请求聚合选项和示例)的信息,请参阅 [在中使用基于费率的规则语句 AWS WAF](waf-rule-statement-type-rate-based.md)。
## 在启用自动缓解时发生的情况
启用自动缓解后,Shield Advanced 会执行以下操作:
+ **根据需要添加规则组以供 Shield Advanced 使用** — 如果您与资源关联的 AWS WAF Web ACL 还没有专门用于自动缓解应用层 DDo S 的 AWS WAF 规则组规则,Shield Advanced 会添加一条规则组规则。
规则组规则的名称以 `ShieldMitigationRuleGroup` 开头。规则组始终包含名为的基于速率的规则`ShieldKnownOffenderIPRateBasedRule`,该规则限制了来自已知是 DDo S 攻击来源的 IP 地址的请求量。有关 Shield Advanced 规则组和引用它的 Web ACL 规则的其他详细信息,请参阅 [使用 Shield Advanced 规则组保护应用程序层](ddos-automatic-app-layer-response-rg.md)。
+ **开始响应针对资源 DDo的 S 攻击** — Shield Advanced 会自动响应受保护资源的 DDo S 攻击。除了始终存在的基于速率的规则外,Shield Advanced 还使用其规则组来部署缓解 DDo S 攻击的自定义 AWS WAF 规则。Shield Advanced 会根据您的应用程序和应用程序遇到的攻击量身定制这些规则,并在部署之前根据该资源的历史流量对其进行测试。
Shield Advanced 在您用于自动缓解的任何 Web ACL 中使用单个规则组规则。如果 Shield Advanced 已经为另一个受保护资源添加了规则组,则不会向 Web ACL 添加另一个规则组。
应用层 DDo S 的自动缓解取决于是否存在用于缓解攻击的规则组。如果出于任何原因将规则组从 AWS WAF Web ACL 中删除,则删除规则组将禁用与该 Web ACL 关联的所有资源的自动缓解措施。
# Shield Advanced 如何管理自动缓解
本节中的主题介绍 Shield Advanced 如何处理您的配置更改以实现自动应用层 DDo S 缓解,以及在启用自动缓解后如何处理 DDo S 攻击。
**Topics**
+ [Shield Advanced 如何通过自动缓解来响应 DDo S 攻击](#ddos-automatic-app-layer-response-ddos-attack)
+ [Shield Advanced 如何管理规则操作设置](#ddos-automatic-app-layer-response-rule-action)
+ [攻击消退后 Shield Advanced 如何管理缓解措施](#ddos-automatic-app-layer-response-after-attack)
+ [在禁用自动缓解时发生的情况](#ddos-automatic-app-layer-response-disable)
## Shield Advanced 如何通过自动缓解来响应 DDo S 攻击
当您在受保护的资源上启用自动缓解时,Shield Advanced 规则组`ShieldKnownOffenderIPRateBasedRule`中基于速率的规则会自动响应来自已知 DDo S 源的流量增加的情况。此速率限制可以快速应用,能起到抵御攻击的前线防御作用。
当 Shield Advanced 检测到攻击时,它会执行下列操作:
1. 尝试识别攻击签名,该特征码将攻击流量与发送到您的应用程序的正常流量隔离开来。目标是制定高质量的 DDo S 缓解规则,这些规则放置后仅影响攻击流量,不会影响应用程序的正常流量。
1. 根据受到攻击的资源以及与相同 Web ACL 关联的任何其他资源的历史流量模式,评估已识别的攻击特征。Shield Advanced 会在部署任何规则以响应事件之前执行此操作。
根据评估结果,Shield Advanced 执行以下操作之一:
+ 如果 Shield Advanced 确定攻击签名仅隔离 DDo S 攻击所涉及的流量, AWS WAF 则它将在 Web ACL 的 Shield 高级缓解规则组的规则中实现签名。Shield Advanced 为这些规则提供了您为资源自动缓解配置的操作设置,可以是 Count 或 Block。
+ 否则,Shield Advanced 不会提供缓解措施。
在整个攻击过程中,Shield Advanced 会发送与基本 Shield Advanced 应用程序层保护相同的通知并提供相同的事件信息。你可以在 Shield Advanced 事件控制台中查看有关事件和 DDo S 攻击以及任何针对攻击的 Shield 高级缓解措施的信息。有关信息,请参阅[使用 Shield Advanced 查看 DDo S 事件](ddos-viewing-events.md)。
如果您已将自动缓解配置为使用 Block 规则操作,并且 Shield Advanced 部署的缓解规则发生误报,则可以将规则操作更改为 Count。有关如何执行此操作的信息,请参阅 [更改用于自动应用层 DDo S 缓解的操作](change-action-of-automatic-app-layer-response.md)。
## Shield Advanced 如何管理规则操作设置
您可以将自动缓解的规则操作设置为 Block 或 Count。
当您更改受保护资源的自动缓解规则操作设置时,Shield Advanced 会更新该资源的所有规则设置。它会更新 Shield Advanced 规则组中资源当前存在的任何规则,并在创建新规则时使用新的操作设置。
对于使用相同 Web ACL 的资源,如果指定不同的操作,Shield Advanced 将使用规则组基于速率的规则 `ShieldKnownOffenderIPRateBasedRule` 的 Block 操作设置。Shield Advanced 代表特定的受保护资源创建和管理规则组中的其他规则,并使用您为该资源指定的操作设置。Web ACL 中的 Shield Advanced 规则组中的所有规则都应用于所有相关资源的 Web 流量。
更改操作设置可能需要几秒钟进行传播。在此期间,某些使用规则组的位置会显示旧设置,而另一些会显示新设置。
您可以在控制台的事件页面和应用程序层配置页面更改自动缓解配置的规则操作设置。有关事件的更多信息,请参阅 [在中响应 DDo S 事件 AWS](ddos-responding.md)。有关配置文件的更多信息,请参阅[配置应用层 DDo S 保护](manage-protection.md#configure-app-layer-protection)。
## 攻击消退后 Shield Advanced 如何管理缓解措施
当 Shield Advanced 确定不再需要为特定攻击部署的缓解规则时,它会将其从 Shield Advanced 缓解规则组中删除。
攻击结束并不意味着取消缓解规则。Shield Advanced 会监控它在您的受保护资源上检测到的攻击模式。它可以保持针对首次发生攻击时部署的规则,以主动防御带有特定特征的攻击再次发生。根据需要,Shield Advanced 会延长遵守规则的时间窗口。这样,Shield Advanced 就可以在使用特定特征码的重复攻击影响您的受保护资源之前缓解这些攻击。
Shield Advanced 永远不会删除基于速率的规则`ShieldKnownOffenderIPRateBasedRule`,该规则限制了来自已知是 DDo S 攻击来源的 IP 地址的请求量。
## 在禁用自动缓解时发生的情况
当您为资源禁用自动缓解时,Shield Advanced 会执行以下操作:
+ **停止自动响应 DDo S 攻击** — Shield Advanced 停止对该资源的自动响应活动。
+ **从 Shield Advanced 规则组中移除不需要的规则**:如果 Shield Advanced 代表受保护资源维护其托管规则组中的任何规则,则会将其删除。
+ **如果已不再使用 Shield Advanced 规则组,则将其删除**:如果您与该资源关联的 Web ACL 未与任何其他启用了自动缓解的资源相关联,Shield Advanced 将从 Web ACL 中删除其规则组规则。
# 使用 Shield Advanced 规则组保护应用程序层
本页介绍了 Shield Advanced 规则组如何在 Web ACL 中工作。
Shield Advanced 使用规则组中它拥有和为您管理的规则来管理自动缓解活动。Shield Advanced 在 Web ACL 中引用具有与受保护资源关联的规则的规则组。
**Web ACL 中的规则组规则**
您的 Web ACL 中的 Shield Advanced 规则组规则具有下列属性:
+ **名称** – `ShieldMitigationRuleGroup``_account-id_web-acl-id_unique-identifier`
+ **Web ACL 容量单位 (WCU) 数**:150。这些 WCUs 计入您的 Web ACL 中的 WCU 使用量。
Shield Advanced 在你的 Web ACL 中创建此规则,优先级设置为 10,000,000,这样它就可以在 Web ACL 中的其他规则和规则组之后运行。 AWS WAF 从最低数字优先级设置开始运行 Web ACL 中的规则。在管理 Web ACL 期间,此优先级设置可能会发生变化。
除了 Web ACL 中规则组 WCUs 使用的 AWS WAF 资源外,自动缓解功能不会消耗您账户中的任何其他资源。例如,Shield Advanced 规则组不算作您账户的规则组之一。有关中的账户限制的信息 AWS WAF,请参阅[AWS WAF 配额](limits.md)。
**规则组中的规则**
在引用的 Shield Advanced 规则组中,Shield Advanced 维护着一条`ShieldKnownOffenderIPRateBasedRule`基于速率的规则,该规则限制了来自已知是 DDo S 攻击来源的 IP 地址的请求量。此规则是抵御任何攻击的第一道防线,因为它始终存在于规则组中,并且不依赖对流量模式的分析来遏制攻击。与规则组中的其他规则一样,此规则的操作设置为您为自动缓解选择的操作。有关基于速率的规则的更多信息,请参阅 [在中使用基于费率的规则语句 AWS WAF](waf-rule-statement-type-rate-based.md)。
**注意**
基于速率的规则的 `ShieldKnownOffenderIPRateBasedRule` 独立于 Shield Advanced 事件检测运行。启用自动缓解功能后,此规则会限制已知是 DDo S 攻击来源的 IP 地址。对于这些 IP 地址,此规则的速率限制可以防范攻击,并且还可以防止攻击出现在 Shield Advanced 检测信息中。这种权衡有利于预防,而不是为了完全了解攻击模式。
除了上述基于速率的永久规则外,该规则组还包含 Shield Advanced 当前用于缓解 DDo S 攻击的所有规则。Shield Advanced 根据需要添加、修改和删除这些规则。有关信息,请参阅[Shield Advanced 如何管理自动缓解](ddos-automatic-app-layer-response-behavior.md)。
**指标**
规则组生成 AWS WAF 指标,但由于此规则组归Shield Advanced所有,因此无法查看这些指标。有关更多信息,请参阅 [AWS WAF 指标和维度](waf-metrics.md)。
# 查看资源的自动应用层 DDo缓解配置
您可以在 “受保护的资源” 页面和各个**保护页面中查看资源的**自动应用层 DDo缓解配置。
**查看自动应用层 DDo S 缓解配置**
1. 登录 AWS 管理控制台 并打开 AWS WAF & Shield 控制台,网址为[https://console.aws.amazon.com/wafv2/](https://console.aws.amazon.com/wafv2/)。
1. 在 AWS Shield 导航窗格中,选择**受保护的资源**。在受保护资源列表中,“**自动应用层 DDo S 缓解**” 列表示是否启用了自动缓解,如果已启用,则显示 Shield Advanced 将在缓解中使用的操作。
您也可以选择任何应用程序层资源,以查看该资源保护页面上列出的相同信息。
# 启用和禁用自动应用层 DDo S 缓解措施
以下过程介绍如何对受保护资源启用或禁用自动响应。
**为单个资源启用或禁用自动应用层 DDo S 缓解措施**
1. 登录 AWS 管理控制台 并打开 AWS WAF & Shield 控制台,网址为[https://console.aws.amazon.com/wafv2/](https://console.aws.amazon.com/wafv2/)。
1. 在 AWS Shield 导航窗格中,选择**受保护的资源**。
1. 在**保护**选项卡中,选择要为其启用自动缓解功能的应用程序层资源。资源的保护页面打开。
1. 在保护组页面上,选择**编辑**。
1. 在 “**为全局资源配置第 7 DDo 层缓解-*可选***” 页面中,对于**自动应用层 DDo S 缓解**,选择要用于自动缓解的选项。控制台上的选项如下:
+ **保留当前设置**:不对受保护资源的自动缓解设置进行任何更改。
+ **启用**:为受保护的资源启用自动缓解。选择此选项时,还要选择要在 Web ACL 规则中使用自动缓解措施的规则操作。有关规则操作设置的信息,请参阅 [在中使用规则操作 AWS WAF](waf-rule-action.md)。
如果受保护资源还没有正常应用程序流量的历史记录,应在 Count 模式下启用自动缓解功能,直到 Shield Advanced 可以建立基准。当您将 Web ACL 关联至受保护的资源时,Shield Advanced 会开始收集其基准信息,并且可能需要 24 小时到 30 天的时间才能为正常流量建立良好的基准。
+ **禁用**:禁用受保护资源的自动缓解。
1. 浏览其余页面,直到完成并保存配置。
在**保护**页面中,将更新资源的自动缓解设置。
# 更改用于自动应用层 DDo S 缓解的操作
您可以在控制台的多个位置更改 Shield Advanced 用于其应用程序层自动响应的操作:
+ **自动缓解配置**:在为资源配置自动缓解时更改操作。有关操作步骤,请参阅上一节 [启用和禁用自动应用层 DDo S 缓解措施](enable-disable-automatic-app-layer-response.md)。
+ **事件详细信息页面**:当您在控制台中查看事件信息时,在活动详细信息页面中更改操作。有关信息,请参阅[查看 AWS Shield Advanced 活动详情](ddos-event-details.md)。
如果您有两个受保护资源共享一个 Web ACL,并且您将其中一个资源的操作设置为 Count,将另一个资源的操作设置为 Block,Shield Advanced 会将规则组的基于速率的规则 `ShieldKnownOffenderIPRateBasedRule` 的操作设置为 Block。
# AWS CloudFormation 与自动应用层 DDo S 缓解一起使用
本页介绍如何使用 CloudFormation 来管理您的防护和 AWS WAF 网络 ACLs。
**启用或禁用自动应用层 DDo S 缓解措施**
您可以使用`AWS::Shield::Protection`资源通过 AWS CloudFormation启用和禁用自动应用层 DDo S 缓解措施。效果与通过控制台或任何其他界面启用或禁用该功能时的效果相同。有关 CloudFormation 资源的信息,请参阅*AWS CloudFormation 用户指南[AWS::Shield::Protection](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-resource-shield-protection.html)*中的。
**管理带有自动缓解功能的 Web ACLs**
Shield Advanced 使用受保护资源的 AWS WAF Web ACL 中的规则组规则管理受保护资源的自动缓解措施。通过 AWS WAF 控制台和 APIs,您将看到 Web ACL 规则中列出的规则,其名称以开头`ShieldMitigationRuleGroup`。此规则专用于您的自动应用层 DDo S 缓解措施,由 Shield Advanced 和 AWS WAF. 有关更多信息,请参阅[使用 Shield Advanced 规则组保护应用程序层](ddos-automatic-app-layer-response-rg.md)和[Shield Advanced 如何管理自动缓解](ddos-automatic-app-layer-response-behavior.md)。
如果您使用 CloudFormation 管理网页 ACLs,请不要将 Shield Advanced 规则组规则添加到您的网页 ACL 模板中。当您更新与自动缓解保护一起使用的 Web ACL 时, AWS WAF 会自动管理 Web ACL 中的规则组规则。
与您通过其他 Web 进行管理相比 ACLs ,您会发现以下区别 CloudFormation:
+ CloudFormation 不会报告使用 Shield Advanced 规则组规则的 Web ACL 的实际配置与没有规则的 Web ACL 模板之间的堆栈偏移状态有任何偏差。Shield Advanced 规则不会出现在资源实际列表的偏移细节中。
您将能够在从中检索的 Web ACL 列表中看到 Shield Advanced 规则组规则 AWS WAF,例如通过 AWS WAF 控制台或 AWS WAF APIs。
+ 如果您修改堆栈中的 Web ACL 模板, AWS WAF Shield Advanced 会在更新后的 Web ACL 中自动维护 Shield Advanced 自动缓解规则。Shield Advanced 提供的自动缓解保护不会因您对 Web ACL 的更新而中断。
不要在你的 CloudFormation 网页 ACL 模板中管理 Shield Advanced 规则。Web ACL 模板不应列出 Shield Advanced 规则。请在 [使用自动应用层 DDo S 缓解措施的最佳实践](ddos-automatic-app-layer-response-bp.md) 按照 Web ACL 管理的最佳实践进行操作。
# 使用 Shield Advanced 和 Route 53 进行运行状况检测
您可以将 Shield Advanced 配置为使用运行状况检测,以提高攻击检测和缓解的响应能力和准确性。您可以将此选项用于除 Route 53 托管区域之外的任何资源类型。
要配置运行状况检测,您可以在 Route 53 中为资源定义运行状况检查,验证其报告运行状况是否正常,然后将其与您的 Shield Advanced 保护相关联。有关 Route 53 运行状况检查的信息,请参阅《Amazon Route 53 开发人员指南》中的 [Amazon Route 53 如何检查资源的运行状况](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/welcome-health-checks.html)以及[创建、更新和删除运行状况检查](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/health-checks-creating-deleting.html)。
**注意**
Shield Response Team (SRT) 的主动参与支持需要进行运行状况检查。有关主动参与的信息,请参阅 [设置主动参与,让 SRT 直接与您联系](ddos-srt-proactive-engagement.md)。
运行状况检查根据您定义的要求衡量资源的运行状况。运行状况检查状态为 Shield Advanced 检测机制提供关键输入,这使它们对特定应用程序的当前状态更加敏感。
您可以为除 Route 53 托管区域之外的任何资源类型启用运行状况检测。
+ **网络和传输层(第 3 层/第 4 层)资源**:运行状况检测可提高网络负载均衡器、弹性 IP 地址和全局加速器标准加速器的网络层和传输层事件检测和缓解的准确性。当您使用 Shield Advanced 保护这些资源类型时,Shield Advanced 可以缓解较小的攻击,更快地缓解攻击,即使流量在应用程序的容量之内。
添加运行状况检测后,如果关联的运行状况检查显示状况不佳,Shield Advanced 可采用更低的阈值,以更快的速度实施缓解措施。
+ **应用程序层(第 7 层)资源** — 基于运行状况的检测提高了 CloudFront分布和应用程序负载均衡器的 Web 请求洪水检测的准确性。使用 Shield Advanced 保护这些资源类型时,根据请求特征,当流量出现统计意义上的显著偏差并与流量模式的显著变化相结合时,您就会收到 Web 请求泛洪检测警报。
采用运行状况检测后,如果关联的 Route 53 运行状况检查显示状况不佳,则 Shield Advanced 可以就较小的偏差发出警报,并且可以更快地报告事件。相反,如果关联的 Route 53 运行状况检查显示状况正常,Shield Advanced 需要较大的偏差才会发出警报。
如果运行状况检查仅在您的应用程序运行在可接受的参数范围内时才报告运行状况正常,而仅在运行状况不佳时才报告运行状况不佳,那么使用 Shield Advanced 的运行状况检查将使您受益最大。使用本节中的指导在 Shield Advanced 中管理您的运行状况检查关联。
**注意**
Shield Advanced 不会自动管理您的运行状况检查。
使用 Shield Advanced 进行运行状况检查需要满足以下条件:
+ 将运行状况检查与 Shield Advanced 保护关联时,运行状况检查必须报告运行状况正常。
+ 运行状况检查必须与受保护资源的运行状况相关。您负责定义和维护运行状况检查,以根据应用程序的特定要求准确报告应用程序的运行状况。
+ 运行状况检查必须保持可用状态,以供 Shield Advanced 保护使用。不要删除您在 Route 53 中用于 Shield Advanced 保护的运行状况检查。
**Contents**
+ [使用 Shield Advanced 进行运行状况检查的最佳实践](health-checks-best-practices.md)
+ [CloudWatch Shield Advanced 中常用于健康检查的指标](health-checks-metrics.md)
+ [用于监控应用程序运行状况的指标](health-checks-metrics.md#health-checks-metrics-common)
+ [每种资源类型的亚马逊 CloudWatch 指标](health-checks-metrics.md#health-checks-protected-resource-metrics)
+ [将运行状况检查与受 Shield Advanced 保护的资源相关联](associate-health-check.md)
+ [取消运行状况检查与 Shield Advanced 保护资源的关联](disassociate-health-check.md)
+ [在 Shield Advanced 中查看运行状况检查关联状态](health-check-association-status.md)
+ [Shield Advanced 运行状况检查示例](health-checks-examples.md)
+ [亚马逊配 CloudFront 送](health-checks-examples.md#health-checks-example-cloudfront)
+ [负载均衡器](health-checks-examples.md#health-checks-example-load-balancer)
+ [Amazon EC2 弹性 IP 地址 (EIP)](health-checks-examples.md#health-checks-example-elastic-ip)
# 使用 Shield Advanced 进行运行状况检查的最佳实践
在 Shield Advanced 中创建和使用运行状况检查时,请遵循本节中的最佳实践。
+ 通过确定要监控的基础架构组件来规划运行状况检查。请考虑以下运行状况检查的资源类型:
+ 关键资源。
+ 任何您想在 Shield Advanced 检测和缓解中获得更高敏感度的资源。
+ 您希望 Shield Advanced 主动与您联系的资源。运行状况检查将为主动参与提供状态信息。
您可能想要监控的资源示例包括亚马逊 CloudFront分配、面向互联网的负载均衡器和 Amazon EC2 实例。
+ 使用尽可能少的通知来定义能够准确反映应用程序来源运行状况的运行状况检查。
+ 编写运行状况检查,这样只有当您的应用程序不可用或无法在可接受的参数范围内运行时,它们才会处于不健康状态。您负责根据应用程序的特定要求定义和维护运行状况检查。
+ 尽可能少地使用运行状况检查,同时仍能准确报告应用程序的运行状况。例如,来自应用程序多个区域的多个警报都报告了相同的问题,这可能会增加响应活动的运营费用,而不会增加信息价值。
+ 使用计算的运行状况检查,使用亚马逊 CloudWatch 指标的组合来监控应用程序的运行状况。例如,您可以根据应用程序服务器的延迟及其 5XX 错误率来计算组合运行状况,这表明原始服务器未完成请求。
+ 根据需要创建自己的应用程序运行状况指标并将其发布到 CloudWatch 自定义指标,并将其用于计算的运行状况检查。
+ 实施和管理您的运行状况检查,以改善检测并减少不必要的维护活动。
+ 在将运行状况检查与 Shield Advanced 保护关联之前,请确保其处于正常状态。关联报告运行状况不佳的运行状况检查可能会影响受保护资源的 Shield Advanced 检测机制。
+ 让您的运行状况检查可用于 Shield Advanced。不要删除您在 Route 53 中用于 Shield Advanced 保护的运行状况检查。
+ 仅使用暂存和测试环境来测试您的运行状况检查。仅为需要生产级性能和可用性的环境维护运行状况检查关联。不要在 Shield Advanced 中为暂存和测试环境维护运行状况检查关联。
# CloudWatch Shield Advanced 中常用于健康检查的指标
本节列出了运行状况检查中常用的亚马逊 CloudWatch 指标,这些指标用于衡量分布式拒绝服务 (DDoS) 事件期间的应用程序运行状况。有关每种资源类型的 CloudWatch 指标的完整信息,请参阅表格后面的列表。
**Topics**
+ [用于监控应用程序运行状况的指标](#health-checks-metrics-common)
+ [每种资源类型的亚马逊 CloudWatch 指标](#health-checks-protected-resource-metrics)
## 用于监控应用程序运行状况的指标
| 资源 | 指标 | 说明 |
| --- | --- | --- |
| Route 53 | `HealthCheckStatus` | 运行状况检查端点的状态。 |
| CloudFront | `5xxErrorRate` | HTTP 状态代码为 5XX 的所有请求的百分比。这表示正在影响应用程序的攻击。 |
| 应用程序负载均衡器 | `HTTPCode_ELB_5XX_Count` | 负载均衡器生成的 HTTP 5XX 客户端错误代码的数量。 |
| 应用程序负载均衡器 | `RejectedConnectionCount` | 由于负载均衡器达到连接数上限被拒绝的链接的数量。 |
| 应用程序负载均衡器 | `TargetConnectionErrorCount` | 负载均衡器和目标之间连接建立不成功的次数。 |
| 应用程序负载均衡器 | `TargetResponseTime` | 请求离开负载均衡器直至收到来自目标的响应所用的时间(以秒为单位)。 |
| 应用程序负载均衡器 | `UnHealthyHostCount` | 被视为未正常运行的目标数量。 |
| 亚马逊 EC2 | `CPUUtilization` | 当前正在使用的已分配 EC2 计算单元的百分比。 |
## 每种资源类型的亚马逊 CloudWatch 指标
有关受保护资源可用指标的更多信息,请参阅资源指南中的以下部分:
+ 亚马逊 Route 53 — [使用亚马逊 Route 53 运行状况检查和亚马逊 Route 53 开发者指南 CloudWatch中的亚马逊监控您的资源](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/monitoring-cloudwatch.html)。
+ 亚马逊 CloudFront -[亚马逊 CloudFront 开发者指南 CloudWatch中的亚马逊监控 CloudFront ](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/monitoring-using-cloudwatch.html)。
+ Application L [oad Balancer — 应用程序负载均衡器用户指南中应用程序负载均衡器的CloudWatch 指标](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/load-balancer-cloudwatch-metrics.html)。
+ Network Load Balancer — [网络负载均衡器用户指南中您的网络负载均衡器的CloudWatch 指标](https://docs.aws.amazon.com/elasticloadbalancing/latest/network/load-balancer-cloudwatch-metrics.html)。
+ AWS Global Accelerator — AWS Global Accelerator在《 AWS Global Accelerator 开发者指南》中[使用亚马逊 CloudWatch ](https://docs.aws.amazon.com/global-accelerator/latest/dg/cloudwatch-monitoring.html)。
+ Amazon Elastic Compute Cloud — 在 https://docs.aws.amazon.com/AWSEC2/最新 UserGuide /中[列出您的实例的可用 CloudWatch 指标](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/viewing_metrics_with_cloudwatch.html)。
+ Amazon A EC2 uto Scaling — A [mazon Auto Scaling 用户指南中的 A EC2 uto Scaling 组和实例的监控 CloudWatch 指标](https://docs.aws.amazon.com/autoscaling/ec2/userguide/as-instance-monitoring.html)。
# 将运行状况检查与受 Shield Advanced 保护的资源相关联
以下过程显示如何将 Amazon Route 53 运行状况检查与受保护资源相关联。
**注意**
在将运行状况检查与 Shield Advanced 保护关联之前,请确保其处于正常状态。有关信息,请参阅《Amazon Route 53 开发人员指南》中的[监控运行状况检查状态和获取通知](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/health-checks-monitor-view-status.html)。
**关联运行状况检查**
1. 登录 AWS 管理控制台 并打开 AWS WAF & Shield 控制台,网址为[https://console.aws.amazon.com/wafv2/](https://console.aws.amazon.com/wafv2/)。
1. 在 AWS Shield 导航窗格中,选择**受保护的资源**。
1. 在**保护**选项卡上,选择要与运行状况检查关联的资源。
1. 选择**配置保护**。
1. 选择 “**下一步**”,直到进入 “**配置基于运行状况检查的 DDo S 检测-*可选***” 页面。
1. 在 **关联运行状况检查** 下,选择要与保护关联的运行状况检查的 ID。
**注意**
如果您没有看到所需的运行状况检查,请转到 Route 53 控制台并验证运行状况检查及其 ID。有关信息,请参阅[创建和更新运行状况检查](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/health-checks-creating.html)。
1. 浏览其余页面,直到完成配置。在**保护**页面上,将列出您更新的资源运行状况检查关联。
1. 在**保护**页面上,检查您新关联的运行状况检查是否报告正常。
当运行状况检查报告运行状况不佳时,您无法成功开始在 Shield Advanced 中使用运行状况检查。这样做会导致 Shield Advanced 在非常低的阈值下检测到误报,还可能对 Shield Response Team (SRT) 为资源提供主动参与的能力产生负面影响。
如果新关联的运行状况检查报告运行状况不佳,请执行以下操作:
1. 在 Shield Advanced 中取消运行状况检查与您的保护的关联。
1. 在 Amazon Route 53 中重新查看您的运行状况检查规范,并验证您的整体应用程序性能和可用性。
1. 如果您的应用程序在运行状况正常的参数范围内运行,并且运行状况检查报告运行状况正常,请再次尝试在 Shield Advanced 中关联运行状况检查。
当您建立了新的运行状况检查关联并在 Shield Advanced 中报告运行状况正常后,运行状况检查关联程序即告完成。
# 取消运行状况检查与 Shield Advanced 保护资源的关联
以下过程说明如何解除 Amazon Route 53 运行状况检查与受保护资源的关联。
**取消运行状况检查的关联**
1. 登录 AWS 管理控制台 并打开 AWS WAF & Shield 控制台,网址为[https://console.aws.amazon.com/wafv2/](https://console.aws.amazon.com/wafv2/)。
1. 在 AWS Shield 导航窗格中,选择**受保护的资源**。
1. 在**保护**选项卡上,选择要取消与运行状况检查关联的资源。
1. 选择**配置保护**。
1. 选择 “**下一步**”,直到进入 “**配置基于运行状况检查的 DDo S 检测-*可选***” 页面。
1. 在**关联运行状况检查**下,选择列为 **-** 的空选项。
1. 浏览其余页面,直到完成配置。
在**保护**页面上,您的资源的运行状况检查字段设置为 **-**,表示没有运行状况检查关联。
# 在 Shield Advanced 中查看运行状况检查关联状态
您可以在 AWS WAF 和 Shield 控制台的**受保护资源**页面和每个资源的详细信息页面上查看与保护相关的运行状况检查的状态。
+ **正常**:运行状况检查可用且报告运行状况正常。
+ **不佳**:运行状况检查可用且报告运行状况不佳。
+ **不可用**:运行状况检查对 Shield Advanced 不可用。
**解决**不可用**运行状况检查**
创建并使用新的运行状况检查。在运行状况检查在 Shield Advanced 中处于不可用状态后,不要再次尝试关联该检查。
有关执行这些步骤的详细指导,请参阅前面的主题。
1. 在 Shield Advanced 中,取消运行状况检查与资源的关联。
1. 在 Route 53 中,为资源创建新的运行状况检查并记下其 ID。有关信息,请参阅《Amazon Route 53 开发人员指南》中的[创建和更新运行状况检查](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/health-checks-creating.html)。
1. 在 Shield Advanced 中,将新的运行状况检查与资源关联。
# Shield Advanced 运行状况检查示例
本节显示了可以在计算的运行状况检查中使用的运行状况检查示例。计算后的运行状况检查使用多个单独的运行状况检查来确定组合状态。每项运行状况检查的状态取决于终端节点的运行状况或 Amazon CloudWatch 指标的状态。您可以将运行状况检查合并到计算的运行状况检查,然后配置计算运行状况检查,根据单个运行状况检查的合并运行状况检查来报告运行状况。根据您对应用程序性能和可用性的要求,调整计算运行状况检查的敏感度。
有关计算的运行状况检查的信息,请参阅 Amazon Route 53 开发人员指南中的[监控其他运行状况检查(计算出的运行状况检查)](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/health-checks-creating-values.html#health-checks-creating-values-calculated)。有关更多信息,请参阅博客文章 [Route 53 改进:计算运行状况检查和延迟检查](https://aws.amazon.com/blogs/aws/route-53-improvements-calculated-health-checks-and-latency-checks/)。
**Topics**
+ [亚马逊配 CloudFront 送](#health-checks-example-cloudfront)
+ [负载均衡器](#health-checks-example-load-balancer)
+ [Amazon EC2 弹性 IP 地址 (EIP)](#health-checks-example-elastic-ip)
## 亚马逊配 CloudFront 送
以下示例描述了可以组合为 CloudFront 分配的计算运行状况检查的运行状况检查:
+ 通过为提供动态内容的分发上的路径指定域名来监控端点。运行状况响应将包括 HTTP 响应代码 2XX 和 3XX。
+ 监控正在测量 CloudFront 源站健康状况的 CloudWatch 警报的状态。例如,您可以维护有关 Application Load Balancer 指标的 CloudWatch 警报`TargetResponseTime`,并创建反映警报状态的运行状况检查。当从请求离开负载均衡器到负载均衡器收到来自目标的响应之间的响应时间超过警报中配置的阈值时,运行状况检查可能不佳。
+ 监控警报的状态,该 CloudWatch 警报衡量响应的 HTTP 状态代码为 5xx 的请求的百分比。如果 CloudFront 分布的 5xx 错误率高于 CloudWatch 警报中定义的阈值,则此运行状况检查的状态将切换为不健康。
## 负载均衡器
以下示例描述了可用于应用程序负载均衡器、网络负载均衡器或全局加速器标准加速器的计算运行状况检查的运行状况检查。
+ 监控警报的状态,该 CloudWatch 警报测量客户端与负载均衡器建立的新连接的数量。您可以将平均新连接数的警报阈值设置为比每天的平均值高出一定程度。每种资源类型的指标如下:
+ 应用程序负载均衡器:`NewConnectionCount`
+ 网络负载均衡器:`ActiveFlowCount`
+ 全局加速器:`NewFlowCount`
+ 对于 Application Load Balancer 和 Network Load Balancer,监控 CloudWatch 警报的状态,该警报用于衡量被认为运行状况良好的负载均衡器数量。您可以在可用区或负载均衡器所需的最低运行状况主机数上设置警报阈值。负载均衡器资源的可用指标如下:
+ 应用程序负载均衡器:`HealthyHostCount`
+ 网络负载均衡器:`HealthyHostCount`
+ 对于 Application Load Balancer,监控 CloudWatch 警报的状态,该警报测量负载均衡器目标生成的 HTTP 5xx 响应代码数量。对于应用程序负载均衡器,您可以使用指标 `HTTPCode_Target_5XX_Count`,并根据负载均衡器所有 5XX 错误的总和来设置警报阈值。
## Amazon EC2 弹性 IP 地址 (EIP)
以下示例运行状况检查可以合并到针对 Amazon EC2 弹性 IP 地址的计算运行状况检查中:
+ 为弹性 IP 地址指定 IP 地址,监控端点。只要能够与 IP 地址后面的资源建立 TCP 连接,运行状况检查就会保持正常状态。
+ 监控警报的状态,该 CloudWatch 警报用于衡量实例上当前正在使用的已分配 Amazon EC2 计算单元的百分比。您可以使用 Amazon EC2 指标,`CPUUtilization`并根据您认为应用程序的高 CPU 利用率(例如 90%)来设定警报阈值。
# 为 AWS 资源添加 AWS Shield Advanced 保护
按照本节中的指导,为一个或多个资源添加 Shield Advanced 保护。
**为 AWS 资源添加保护**
1. 登录 AWS 管理控制台 并打开 AWS WAF & Shield 控制台,网址为[https://console.aws.amazon.com/wafv2/](https://console.aws.amazon.com/wafv2/)。
1. 在导航窗格中, AWS Shield 选择受**保护的资源**。
1. 选择**添加要保护的资源**。
1. 在**选择要使用 Shield Advanced 保护的资源**页面的**指定区域和资源类型**中,提供要保护的资源的区域和资源类型规格。您可以通过选择**所有区域**来保护多个区域中的资源,也可以通过选择**全局**将选择范围缩小到全局资源。您可以取消选择任何不想保护的资源类型。有关您的资源类型保护的信息,请参阅 [AWS Shield Advanced 可保护的资源列表](ddos-protections-by-resource-type.md)。
1. 选择**加载资源**。Shield Advanced 会使用符合您条件的 AWS 资源填充**选择资源**部分。
1. 在**选择资源** 部分,您可以通过在资源列表中输入要搜索的字符串来筛选资源列表。
选择要保护的资源。
1. 在**标签**部分,如果要为正在创建的 Shield Advanced 保护添加标签,请指定这些标签。有关标记 AWS 资源的信息,请参阅[使用标签编辑器](https://docs.aws.amazon.com/awsconsolehelpdocs/latest/gsg/tag-editor.html)。
1. 选择**使用 Shield Advanced 保护**。这为资源增加了 Shield Advanced 保护。
# 编辑 AWS Shield Advanced 保护
您可以随时更改 AWS Shield Advanced 保护设置。为此,您可以查看所选的保护选项,并修改需要更改的设置。
**管理受保护资源**
1. 登录 AWS 管理控制台 并打开 AWS WAF & Shield 控制台,网址为[https://console.aws.amazon.com/wafv2/](https://console.aws.amazon.com/wafv2/)。
1. 在 AWS Shield 导航窗格中,选择**受保护的资源**。
1. 在**保护**选项卡中,选择要保护资源。
1. 选择所需的**配置保护**和资源规格选项。
1. 浏览每个资源保护选项,根据需要进行更改。
## 配置应用层 DDo S 保护
为了防范对 Amazon CloudFront 和 Application Load Balancer 资源的攻击,您可以添加 AWS WAF 网页ACLs 和添加基于速率的规则。有关此问题的信息,请参阅 [使用 AWS WAF Web ACLs 和 Shield Advanced 保护应用层](ddos-app-layer-web-ACL-and-rbr.md)。
您还可以启用 Shield Advanced 自动应用层 DDo S 缓解措施。有关 AWS WAF 工作原理的信息,请参阅[AWS WAF](waf-chapter.md)。有关自动缓解功能的信息,请参阅 [使用 Shield Advanced 自动缓解应用层 DDo S](ddos-automatic-app-layer-response.md)。
**重要**
如果您通过 AWS Firewall Manager 使用 Shield Advanced 策略来管理 Shield 高级保护,则无法在此处管理应用层保护。对于所有其他资源,我们建议至少为每个资源关联一个 Web ACL,即使该 Web ACL 不包含任何规则。
**注意**
当你为资源启用自动应用层 DDo S缓解时,如果需要,该操作会自动向你的账户添加服务相关角色,以授予Shield Advanced管理你的Web ACL保护所需的权限。有关信息,请参阅[使用 Shield Advance 的服务相关角色](shd-using-service-linked-roles.md)。
**配置应用层 DDo S 保护**
1. 在**配置 DDo第 7 层保护**页面中,如果资源尚未与 Web ACL 关联,则可以选择现有的 Web ACL 或创建自己的 Web ACL。
要创建 Web ACL,请执行以下操作:
1. 选择 **创建 web ACL**。
1. 输入名称。web ACL 在创建之后无法更改名称。
1. 选择**创建**。
**注意**
如果资源已与一个 Web ACL关联,则不能更改为其他 Web ACL。如果要更改 Web ACL,则必须先 ACLs 从资源中移除关联的 Web。有关更多信息,请参阅 [将保护与资源关联或取消关联 AWS](web-acl-associating-aws-resource.md)。
1. 如果 Web ACL 未定义基于速率的规则,则可以选择**添加速率限制规则**,然后执行以下步骤来添加规则:
1. 输入名称。
1. 输入速率限制。这是在对 IP 地址应用基于速率的规则操作之前,在任何 5 分钟内允许来自任何单个 IP 地址的最大请求数。当来自该 IP 地址的请求低于限制时,该操作将停止。
1. 将规则操作设置为在 IP 地址的请求计数超过限制时对 IP 的请求进行计数或阻止。规则操作的应用和删除可能会在 IP 地址请求速率更改一两分钟后生效。
1. 选择**添加规则**。
1. 对于**自动缓解应用层 DDo S**,请选择是否希望 Shield Advanced 代表您自动缓解 DDo S 攻击,如下所示:
+ 要启用自动缓解,请选择 “**启**用”,然后选择希望 Shield Advanced 在其自定义规则中使用的规则操作。 AWS WAF 您的选择是 Count 和 Block。有关这些 AWS WAF 规则操作的信息,请参阅[在中使用规则操作 AWS WAF](waf-rule-action.md)。有关 Shield Advanced 如何管理此操作设置的信息,请参阅 [Shield Advanced 如何管理规则操作设置](ddos-automatic-app-layer-response-behavior.md#ddos-automatic-app-layer-response-rule-action)。
+ 要禁用自动缓解,请选择**禁用**。
+ 要使您管理的资源的自动缓解设置保持不变,请保留默认选项**保持当前设置**。
有关 Shield Advanced 自动应用层 DDo S 缓解措施的信息,请参阅[使用 Shield Advanced 自动缓解应用层 DDo S](ddos-automatic-app-layer-response.md)。
1. 选择**下一步**。
# 为采用 Shield Advanced 保护的资源创建警报和通知
以下过程说明如何管理受保护资源的 CloudWatch 警报。
**注意**
CloudWatch 会产生额外费用。有关 CloudWatch 定价,请参阅 [Amazon CloudWatch 定价](https://aws.amazon.com/cloudwatch/pricing/)。
**创建警报和通知**
1. 在保护页面**创建警报和通知(*可选*)**中,为要接收的警报和通知配置 SNS 主题。对于不想接收通知的资源,请选择 **无主题**。可以添加一个 Amazon SNS 主题,也可以创建一个新的主题。
1. 要创建 Amazon SNS 主题,请执行以下步骤:
1. 从下拉列表中,选择**创建 SNS 主题**。
1. 输入主题名称。
1. 可选择输入 Amazon SNS 消息将发送到的电子邮件地址,然后选择**添加电子邮件地址**。可以输入多个。
1. 选择**创建**。
1. 选择**下一步**。
# 移除对 AWS 资源的 AWS Shield Advanced 保护
您可以随时取消对任何 AWS 资源的 AWS Shield Advanced 保护。
**重要**
删除 AWS 资源并不会从中移除该资源 AWS Shield Advanced。您还必须从中移除对资源的保护 AWS Shield Advanced,如本过程所述。
**移除对 AWS 资源的 AWS Shield Advanced 保护**
1. 登录 AWS 管理控制台 并打开 AWS WAF & Shield 控制台,网址为[https://console.aws.amazon.com/wafv2/](https://console.aws.amazon.com/wafv2/)。
1. 在 AWS Shield 导航窗格中,选择**受保护的资源**。
1. 在**保护**选项卡中,选择要删除其保护的资源。
1. 选择**删除保护**。
1. 如果您为保护配置了 Amazon CloudWatch 警报,则可以选择删除警报和保护。如果您选择此时不删除警报,则可以在以后使用 CloudWatch 控制台将其删除。
**注意**
对于配置了 Amazon Route 53 运行状况检查的保护,如果稍后再次添加保护,则保护仍会包括该运行状况检查。
前面的步骤取消了对特定 AWS 资源的 AWS Shield Advanced 保护。他们不会取消您的 AWS Shield Advanced 订阅。您将继续为该服务付费。有关您的 AWS Shield Advanced 订阅的信息,请联系[AWS 支持 中心](https://console.aws.amazon.com/support/home#/)。
## 从 Shield 高级保护中移除 CloudWatch 警报
要从 Shield 高级防护中移除 CloudWatch 警报,请执行以下任一操作:
+ 删除保护,如[移除对 AWS 资源的 AWS Shield Advanced 保护](#remove-protection)中所述。请务必选中 “**同时删除相关 DDoSDetection 警报**” 旁边的复选框。
+ 使用 CloudWatch 控制台删除警报。要删除的警报的名称以开头**DDoSDetectedAlarmForProtection**。
# 对您的 AWS Shield Advanced 保护进行分组
使用保护组创建受保护资源的逻辑集合,并将其保护作为一个组进行管理。有关管理资源保护的信息,请参阅 [编辑 AWS Shield Advanced 保护](manage-protection.md)。
**注意**
自动应用层 DDo S 缓解不会与保护组交互。您可以为保护组中的资源启用自动缓解,但是 Shield Advanced 不会根据保护组的调查发现自动应用攻击缓解措施。Shield Advanced 会对单个资源进行自动攻击缓解。
AWS Shield Advanced 保护组通过将多个受保护资源视为一个单元,为您提供了一种自助服务方式,可以自定义检测和缓解的范围。资源分组可以带来许多好处。
+ 提高检测的准确性。
+ 减少不可操作的事件通知。
+ 扩大缓解措施的覆盖范围,将事件期间也可能受到影响的受保护资源包括在内。
+ 加快缓解多个相似目标攻击的时间。
+ 促进对新创建的受保护资源的自动保护。
在 blue/green 交换等情况下,保护组可以帮助减少误报,在这种情况下,资源在接近零负载和满载之间交替出现。另一种情况是,您在保持群组成员共享的负载水平的同时频繁创建和删除资源。对于此类情况,监控单个资源可能会导致误报,而监控资源组的运行状况则不会导致误报。
您可以将保护组配置为包括所有受保护的资源、特定资源类型的所有资源或单独指定的资源。满足保护组条件的新受保护资源将自动包含在您的保护组中。受保护资源可归属于多个保护组。
# 创建 Shield Advanced 保护组
**创建保护组**
1. 登录 AWS 管理控制台 并打开 AWS WAF & Shield 控制台,网址为[https://console.aws.amazon.com/wafv2/](https://console.aws.amazon.com/wafv2/)。
1. 在 AWS Shield 导航窗格中,选择**受保护的资源**。
1. 选择**保护组**选项卡,然后选择**创建保护组**。
1. 在**创建保护组**页面中,为您的组提供一个名称。您将使用此名称来标识受保护资源列表中的群组。在创建保护组后,您无法更改其名称。
1. 在**保护分组条件**中,选择您希望 Shield Advanced 用来标识要包含在组中的受保护资源的条件。根据您选择的条件进行其他选择。
1. 对于**聚合**,选择希望 Shield Advanced 如何合并群组的资源数据,以检测、缓解和报告事件。
+ **总计**:使用整个群组的总流量。对于大多数情况,这是一个很好的选择。示例包括用于手动或自动扩展的 Amazon EC2 实例的弹性 IP 地址。
+ **均值**:使用整个群组的平均流量。对于统一共享流量的资源,这是一个很好的选择。例如,加速器和负载均衡器。
+ **最大**:使用每个资源的最大流量。这对于不共享流量的资源以及以非统一方式共享流量的资源很有用。示例包括用于 CloudFront 分配的 Amazon CloudFront 分配和来源资源。
1. 选择**保存**以保存您的保护组并返回到**受保护资源**页面。
在 **Shield** **事件**页面中,您可以查看保护组的事件,并深入查看该组中受保护资源的其他信息。
# 更新 Shield Advanced 保护组
**更新保护组**
1. 登录 AWS 管理控制台 并打开 AWS WAF & Shield 控制台,网址为[https://console.aws.amazon.com/wafv2/](https://console.aws.amazon.com/wafv2/)。
1. 在 AWS Shield 导航窗格中,选择**受保护的资源**。
1. 在**保护组**选项卡中,选中要修改的保护组旁边的复选框。
1. 在保护组页面上,选择**编辑**。对保护组设置进行更改。
1. 选择 **保存** 以保存您的更改。
# 删除 Shield Advanced 保护组
**删除保护组**
1. 登录 AWS 管理控制台 并打开 AWS WAF & Shield 控制台,网址为[https://console.aws.amazon.com/wafv2/](https://console.aws.amazon.com/wafv2/)。
1. 在 AWS Shield 导航窗格中,选择**受保护的资源**。
1. 在**保护组**选项卡中,选中要删除的保护组旁边的复选框。
1. 在保护组的页面中,选择**删除**并确认操作。
# Tracking Shield 中的高级资源保护变化 AWS Config
本页介绍如何使用记录对资源 AWS Shield Advanced 保护的更改 AWS Config。然后,您可以使用此信息来维护配置更改历史记录以进行审核和故障排除。
要记录保护更改,请 AWS Config 为要跟踪的每个资源启用该选项。有关更多信息,请参阅《AWS Config 开发人员指南》**中的 [AWS Config入门](https://docs.aws.amazon.com/config/latest/developerguide/getting-started.html)
您必须 AWS Config 为 AWS 区域 包含跟踪资源的每个资源启用。您可以 AWS Config 手动启用,也可以在《*CloudFormation 用户指南*》的 “[CloudFormation StackSets 示例 CloudFormation 模板 AWS Config](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/stacksets-sampletemplates.html)” 中使用 “启用” 模板。
如果您启用 AWS Config,则会按[AWS Config 定价](https://aws.amazon.com/config/pricing/)页面上的详细信息向您收费。
**注意**
如果您已经 AWS Config 启用了必要的区域和资源,则无需执行任何操作。 AWS Config 有关资源保护更改的日志开始自动填充。
启用后 AWS Config,使用 AWS Config 控制台中的美国东部(弗吉尼亚北部)区域查看 AWS Shield Advanced 全球资源的配置更改历史记录。
通过 AWS Config 控制台查看美国东部(弗吉尼亚北部)、美国东部(俄亥俄州)、美国西部(俄勒冈)、美国西部(加利福尼亚北部)、欧洲(爱尔兰)、欧洲(法兰克福)、亚太地区(东京)和亚太地区(悉尼) AWS Shield Advanced 区域资源的变更历史记录。