引入全新的主机体验 AWS WAF
现在,您可以使用更新的体验访问控制台中任意位置的 AWS WAF 功能。有关更多详细信息,请参阅使用控制台。
本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
AWS WAF 分布式拒绝服务防护 DDo
AWS WAF 针对 AWS 资源中的 DDo S 攻击提供复杂且可自定义的保护。查看本节中描述的选项,然后选择满足您的安全和业务需求的反 DDo S防护级别。
您可以从以下两层 DDo S 保护中进行选择 AWS WAF:
- 资源级 S 保护 DDo
-
标准层级在应用程序负载均衡器中运行,可通过主机上筛选以防御已知的恶意来源。您可以将保护行为配置为对潜在的 DDo S 事件做出最佳反应。
资源级 DDo S 保护:
自动监控您的流量模式。
实时更新威胁情报。
防御已知的恶意来源。
优化应用程序负载均衡器的 web ACL 请求成本
您必须将 web ACL 与应用程序负载均衡器关联才能启用资源级防护。如果您的 Application Load Balancer 与没有配置的 Web ACL 关联,则不会因 AWS WAF 请求而产生费用,但 AWS WAF 不会提供抽样请求或以指标形式报告应用程序负载均衡器。 CloudWatch 您可以采取以下操作,为应用程序负载均衡器启用可观测性功能:
-
在
DefaultAction中使用带自定义请求标头的Block操作或Allow操作。有关信息,请参阅为非阻止操作插入自定义请求标头。 -
将任何规则添加到 web ACL。有关信息,请参阅AWS WAF 规则。
-
启用日志记录目标。有关信息,请参阅为保护包(web ACL)配置日志记录。
-
将 Web ACL 与 AWS Firewall Manager 策略关联。有关信息,请参阅为创建 AWS Firewall Manager 策略 AWS WAF。
AWS WAF 如果没有这些配置,将不会提供抽样请求或发布 CloudWatch 指标。
- AWS 托管规则组 DDo S 保护
-
通过提供高级的 DDo S 保护层
AWSManagedRulesAntiDDoSRuleSet。托管规则组是对资源级防护层的补充,具有以下显著区别:保护扩展到应用程序负载均衡器和 CloudFront 分发
流量基准针对受保护的资源而创建,以改进对新攻击模式的检测。
根据您选择的灵敏度级别激活防护行为。
在可能的 DDo S 事件期间管理和标记对受保护资源的请求。
有关包含规则和功能的完整列表,请参阅 AWS WAF 分布式拒绝服务 (DDoS) 防护规则组。
注意
使用此托管规则组时,您需要额外付费。有关更多信息,请参阅 AWS WAF 定价
