Shield AdvanceAmazon WAFWeb ACL 和基于速率的规则

要使用 Shield Advanced 保护应用层资源，首先要关联一个Amazon WAF带有资源的 Web ACL。如果发生 DDoS 攻击，您可以通过在关联的 Web ACL 中添加和管理规则来采取缓解措施。您可以直接在Shield 响应小组 (SRT) 的协助下或通过自动应用层 DDoS 缓解来执行此操作。

此外，如果您关联的 Web ACL 没有定义基于速率的规则，Shield Advanced 会提示您至少定义一个基于速率的规则。当来自源 IP 的流量超过您定义的阈值时，基于速率的规则会自动阻止这些流量。基于速率的规则有助于保护您的应用程序免受 Web 请求泛洪的侵害，并允许您收到流量突然激增的警报，这可能表明存在潜在的 DDoS 攻击。

当您使用基于速率的规则时，每 30 秒一次，Amazon WAF评估前五分钟的流量。Amazon WAF阻止来自任何超过阈值的源 IP 地址的请求，直到请求速率下降到可接受的水平。将基于速率的规则速率阈值设置为一个值，该值大于您在任何五分钟时间段内预期来自任何一个源 IP 的正常流量速率。

您可能需要在 Web ACL 中使用多个基于速率的规则。例如，您可以为所有具有较高阈值的流量设置一个基于速率的规则，再加上一个或多个配置为匹配您的 Web 应用程序的特定部分且阈值较低的附加规则。例如，您可能在 URI 上进行匹配/login.html使用较低的阈值，以减少对登录页面的滥用。

有关其他信息和指导，请参阅安全博客文章最重要的三个Amazon WAF基于费率的规则.

Shield Advanced 控制台允许您添加基于速率的规则并使用基本设置对其进行配置。您可以通过管理基于费率的规则来定义其他配置选项Amazon WAF. 例如，您可以使用转发的 IP 地址代替标准 IP 地址，还可以添加向下作用域语句来过滤掉评估中的某些请求。有关所有配置选项的描述，请参阅基于速率的规则语句. 有关使用的信息Amazon WAF要管理您的 Web 请求监控和管理规则，请参阅创建 Web ACL.