介绍 AWS WAF 的全新控制台体验
现在,您可以使用更新后的体验访问控制台中任意位置的 AWS WAF 功能。有关更多详细信息,请参阅 使用更新的控制台体验。
AWS WAF 分布式阻断服务(DDoS)防护
AWS WAF 针对 AWS 资源中的 DDoS 攻击提供高级且可自定义的保护。查看本节所述的选项,选择符合您安全和业务需求的反 DDoS 防护级别。
可在 AWS WAF 中选择两种层级的 DDoS 防护:
- 资源级 DDoS 防护
-
标准层级在应用程序负载均衡器中运行,可通过主机上筛选以防御已知的恶意来源。您可以配置防护策略,以最佳方式应对潜在的 DDoS 攻击事件。
资源级 DDoS 防护:
自动监控您的流量模式。
实时更新威胁情报。
防御已知的恶意来源。
优化应用程序负载均衡器的 web ACL 请求成本
您必须将 web ACL 与应用程序负载均衡器关联才能启用资源级防护。如果应用程序负载均衡器与未配置的 web ACL 关联,则您无需支付 AWS WAF 请求的费用,但 AWS WAF 不会在 CloudWatch 指标中提供采样请求或报告应用程序负载均衡器指标。您可以采取以下操作,为应用程序负载均衡器启用可观测性功能:
-
在
DefaultAction中使用带自定义请求标头的Block操作或Allow操作。有关信息,请参阅 为非阻止操作插入自定义请求标头。 -
将任何规则添加到 web ACL。有关信息,请参阅 AWS WAF 规则。
-
启用日志记录目标。有关信息,请参阅 为保护包(web ACL)配置日志记录。
-
将 web ACL 与 AWS Firewall Manager 策略相关联。有关信息,请参阅 为 AWS Firewall Manager 创建AWS WAF策略。
如果没有这些配置,AWS WAF 将不会提供采样请求或发布 CloudWatch 指标。
- AWS 托管规则组 DDDoS 防护
-
通过
AWSManagedRulesAntiDDoSRuleSet提供高级 DDoS 防护。托管规则组是对资源级防护层的补充,具有以下显著区别:防护扩展到应用程序负载均衡器和 CloudFront 分配
流量基准针对受保护的资源而创建,以改进对新攻击模式的检测。
根据您选择的灵敏度级别激活防护行为。
在可能发生 DDoS 事件期间,管理并标记对受保护资源的请求。
有关包含规则和功能的完整列表,请参阅 AWS WAF 分布式阻断服务(DDoS)防护规则组。
注意
使用此托管规则组时,您需要额外付费。有关更多信息,请参阅 AWS WAF 定价
