设置 AWS Firewall ManagerAWS Shield Advanced 策略 - AWS WAF、AWS Firewall Manager、AWS Shield Advanced 和 AWS Shield 网络安全分析器
步骤 1:完成先决条件步骤 2:创建并应用 Shield Advanced 策略步骤 3:(可选)向 Shield Response Team (SRT) 授权步骤 4:配置 Amazon SNS 通知和 Amazon CloudWatch 警报

介绍 AWS WAF 的全新控制台体验

现在,您可以使用更新后的体验访问控制台中任意位置的 AWS WAF 功能。有关更多详细信息,请参阅 使用更新的控制台体验

设置 AWS Firewall ManagerAWS Shield Advanced 策略

您可以使用 AWS Firewall Manager 在整个组织中启用 AWS Shield Advanced 保护。

重要

Firewall Manager 不支持 Amazon Route 53 或 AWS Global Accelerator。如果您需要使用 Shield Advanced 保护这些资源,则不能使用 Firewall Manager 策略。而是应按照向 AWS Shield Advanced 资源添加 AWS 保护中的说明操作。

要使用 Firewall Manager 来启用 Shield Advanced 保护,请按顺序执行以下步骤。

步骤 1:完成先决条件

为 AWS Firewall Manager 准备您的账户有几个必要步骤。AWS Firewall Manager 先决条件 中介绍了这些步骤。在继续执行 步骤 2:创建并应用 Shield Advanced 策略 之前,请完成所有先决条件。

步骤 2:创建并应用 Shield Advanced 策略

完成先决条件后,您将创建一个 AWS Firewall Manager Shield Advanced 策略。Firewall Manager Shield Advanced 策略包含您要使用 Shield Advanced 保护的账户和资源。

重要

Firewall Manager 不支持 Amazon Route 53 或 AWS Global Accelerator。如果您需要使用 Shield Advanced 保护这些资源,则不能使用 Firewall Manager 策略。而是应按照向 AWS Shield Advanced 资源添加 AWS 保护中的说明操作。

创建 Firewall Manager Shield Advanced 策略(控制台)

  1. 使用您的 Firewall Manager 管理员账户登录 AWS 管理控制台,然后通过以下网址打开 Firewall Manager 控制台:https://console.aws.amazon.com/wafv2/fmsv2。有关设置 Firewall Manager 管理员账户的信息,请参阅 AWS Firewall Manager 先决条件

    注意

    有关设置 Firewall Manager 管理员账户的信息,请参阅 AWS Firewall Manager 先决条件

  2. 在导航窗格中,选择安全策略

  3. 选择创建策略

  4. 对于策略类型,选择 Shield Advanced

    要创建 Shield Advanced 策略,您的 Firewall Manager 必须订阅 Shield Advanced。如果您尚未订阅,则会提示您订阅。有关订阅成本的更多信息,请参阅 AWS Shield Advanced 定价

    注意

    您无需为每个会员账户手动订阅 Shield Advanced。Firewall Manager 在创建策略时会为您执行此操作。每个账户都必须继续订阅 Firewall Manager 和 Shield Advanced,才能继续保护账户中的资源。

  5. 对于区域,选择 AWS 区域。要保护 Amazon CloudFront 资源,请选择全局

    为了保护多个区域中的资源(而不是 CloudFront 资源),您必须为每个区域创建单独的 Firewall Manager 策略。

  6. 选择下一步

  7. 对于名称,请键入策略的描述性名称。

  8. (仅全局区域)仅对于全局区域策略,您可以选择是否要管理 Shield Advanced 应用程序层 DDoS 自动缓解。在本教程中,将此选项保留为默认设置忽略

  9. 对于策略操作,请选择不会自动修复的选项。

  10. 选择下一步

  11. 此策略适用的 AWS 账户 选项允许您指定要包括或排除的账户,以此来缩小策略的范围。对于本教程,选择 包括我的组织下的所有账户

  12. 选择要保护的资源的类型。

    Firewall Manager 不支持 Amazon Route 53 或 AWS Global Accelerator。如果您需要使用 Shield Advanced 保护这些资源,则不能使用 Firewall Manager 策略。否则,请按照 向 AWS Shield Advanced 资源添加 AWS 保护 提供的 Shield Advanced 的指导进行操作。

  13. 对于资源,可以使用标签来缩小策略的范围,您可以包括或排除带有所指定标签的资源。您可以使用“包含”或“排除”,但两者不能同时使用。有关定义策略范围的标签的更多信息,请参阅 使用 AWS Firewall Manager 策略范围

    资源标签只能有非空值。如果忽略标签的值,Firewall Manager 会使用以下空字符串值保存标签:“”。资源标签仅与具有相同键和相同值的标签匹配。

  14. 选择下一步

  15. 对于策略标签,请添加要添加至 Firewall Manager 策略资源的任何标识标签。有关标签的更多信息,请参阅使用标签编辑器

  16. 选择下一步

  17. 查看新的政策设置,然后返回需要进行任何调整的页面。

    进行检查以确保 策略操作 设置为 确定不符合策略规则的资源,但不自动修复。这样,您就可以在启用更改之前查看策略要做出的更改。

  18. 若您满意所创建的策略,请选择创建策略

    AWS Firewall Manager 策略窗格下应列出您的策略。它可能会在账户标题下指示待处理,并指示自动修复设置的状态。策略的创建可能需要几分钟的时间。当 待处理 状态替换为账户计数时,您可以选择策略名称来探索账户和资源的合规状态。有关信息,请参阅。查看 AWS Firewall Manager 策略的合规性信息

继续步骤 3:(可选)向 Shield Response Team (SRT) 授权

步骤 3:(可选)向 Shield Response Team (SRT) 授权

AWS Shield Advanced 的优势之一是来自 Shield Response Team (SRT) 的支持。当您遇到潜在 DDoS 攻击时,您可以联系 AWS 支持 中心。如有必要,支持中心会将您的问题上报至 SRT。SRT 可以帮助您分析可疑的活动,并帮助您缓解问题。缓解措施通常涉及在您的账户中创建或更新 AWS WAF 规则和 web ACL。SRT 可以检查您的 AWS WAF 配置并为您创建或更新 AWS WAF 规则和 web ACL,但该团队需要您的授权才可以执行此操作。建议您在设置 AWS Shield Advanced 时主动向 SRT 提供所需授权。提前提供授权有助于防止在实际发生攻击时耽误问题的解决。

您在账户级别授权和联系 SRT。也就是说,账户所有者(而不是 Firewall Manager 管理员)必须执行以下步骤来授权 SRT 以缓解潜在的攻击。Firewall Manager 管理员只能为他们拥有的账户授权 SRT。同样,只有账户所有者可以联系 SRT 以获得支持。

注意

要使用 SRT 的服务,您必须订阅 Business Support Plan企业支持计划

要授权 SRT 代表您缓解潜在的攻击,请按照 支持 Shield 响应小组 (SRT) 的托管 DDoS 事件响应 中的步骤操作。您可以随时使用相同的步骤更改 SRT 访问权限和权限。

继续步骤 4:配置 Amazon SNS 通知和 Amazon CloudWatch 警报

步骤 4:配置 Amazon SNS 通知和 Amazon CloudWatch 警报

您可以从该步骤继续操作,而不配置 Amazon SNS 通知或 CloudWatch 警报。但是,配置这些警报和通知可显著提高您对潜在 DDoS 事件的可见性。

您可以使用 Amazon SNS 监控受保护的资源以了解是否存在潜在的 DDoS 活动。要接收可能攻击的通知,请为每个区域创建一个 Amazon SNS 主题。

重要

关于潜在的 DDoS 活动的 Amazon SNS 通知不是实时发送的,可能会延迟。此外,如果每个账户的每种资源类型超过 1000 个 Shield Advanced 受保护资源的限额,Firewall Manager 的性能限制可能会完全阻止 DDoS 攻击通知的成功传送。有关更多信息,请参阅 AWS Shield Advanced 限额

要启用潜在 DDoS 活动的实时通知,可使用 CloudWatch 警报。警报必须基于受保护资源所在账户的 DDoSDetected 指标。

在 Firewall Manager(控制台)创建 Amazon SNS 主题

  1. 使用您的 Firewall Manager 管理员账户登录 AWS 管理控制台,然后通过以下网址打开 Firewall Manager 控制台:https://console.aws.amazon.com/wafv2/fmsv2。有关设置 Firewall Manager 管理员账户的信息,请参阅 AWS Firewall Manager 先决条件

    注意

    有关设置 Firewall Manager 管理员账户的信息,请参阅 AWS Firewall Manager 先决条件

  2. 在导航窗格中的 AWS FMS 下,选择 设置

  3. 选择 创建新主题

  4. 输入主题名称。

  5. 输入 Amazon SNS 消息将发送到的电子邮件地址,然后选择添加电子邮件地址

  6. 选择 更新 SNS 配置

配置 Amazon CloudWatch 警报

Shield Advanced 在 CloudWatch 中记录您可以监控的检测、缓解和顶级贡献者指标。有关更多信息,请参阅 AWS Shield Advanced 指标。CloudWatch 会产生额外费用。有关 CloudWatch 定价,请参阅 Amazon CloudWatch 定价

要创建 CloudWatch 警报,请按照使用 Amazon CloudWatch 警报中的说明操作。默认情况下,Shield Advanced 将 CloudWatch 配置为在检测到提示存在潜在 DDoS 事件的一个信号时即通知您。如果需要,您可以使用 CloudWatch 控制台来更改此设置,以便在检测到多个提示信号时再通知您。

注意

除了警报之外,您还可以使用 CloudWatch 控制面板来监控潜在的 DDoS 活动。此控制面板可从 CloudWatch 收集原始数据,并将数据处理为易读的近乎实时的指标。您能够使用 Amazon CloudWatch 中的统计数据,了解您的 web 应用程序或服务的执行情况。有关更多信息,请参阅 Amazon CloudWatch 用户指南中的什么是 CloudWatch

有关创建 CloudWatch 控制面板的说明,请参阅 使用 Amazon CloudWatch 监控。有关您可以添加到控制面板的 Shield Advanced 指标的信息,请参阅 AWS Shield Advanced 指标

完成 Shield Advanced 配置后,请熟悉在 使用 Shield 提供对 DoS 事件的可见性 查看事件的选项。