使用自动缓解的最佳实践 - Amazon WAF、Amazon Firewall Manager 和 Amazon Shield Advanced
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

使用自动缓解的最佳实践

使用自动缓解时,请遵循此处提供的指导。

  • 通过 Shield Advanced 管理所有自动缓解保护,或者如果你正在使用Amazon Firewall Manager通过Firewall Manager 管理您的 Shield Advanced 自动缓解设置。不要混用 Shield Advanced 和 Firewall Manager 来管理这些保护。

  • 使用相同的 Web ACL 和保护设置管理相似的资源,使用不同的 Web ACL 管理不同的资源。当 Shield Advanced 缓解对受保护资源的 DDoS 攻击时,它会为与该资源关联的 Web ACL 定义规则,然后针对与 Web ACL 关联的所有资源的流量测试规则。Shield Advanced 只有在规则不会对任何关联资源产生负面影响的情况下才会应用这些规则。有关更多信息,请参阅 Shield 高级版如何管理自动缓解

  • 不要从您的 Web ACL 中删除任何名称以开头的规则组ShieldMitigationRuleGroup. 如果你这样做,则禁用 Shield Advanced 自动缓解为与 Web ACL 关联的所有资源提供的保护。此外,Shield Advanced 可能需要一些时间才能收到变更通知并更新其设置。在此期间,Shield Advanced 控制台页面将提供错误的信息。有关更多信息,请参阅 Shield Advanced 规则组参考声明

  • 适用于所有互联网流量都通过亚马逊代理的应用程序负载均衡器 CloudFront分发,仅在上启用自动缓解 CloudFront分片分配。这些区域有: CloudFront 分布将始终具有最大数量的原始流量属性,Shield Advanced 利用这些属性来缓解攻击。