使用自動應用程式層 DDoS 緩解措施的最佳實務

透過 Shield Advanced 管理所有自動緩解保護，或者如果您使用 AWS Firewall Manager 來透過 Firewall Manager 管理 Shield Advanced 自動緩解設定。請勿混合使用 Shield Advanced 和 Firewall Manager 來管理這些保護。

使用相同的 Web ACLs 和保護設定管理類似的資源，並使用不同的 Web ACLs 管理不同的資源。當 Shield Advanced 緩解受保護資源的 DDoS 攻擊時，它會定義與資源相關聯的 Web ACL 規則，然後針對與 Web ACL 相關聯的所有資源流量測試規則。Shield Advanced 只會套用不會對任何相關聯資源產生負面影響的規則。如需詳細資訊，請參閱Shield Advanced 如何管理自動緩解。

對於透過 Amazon CloudFront 分佈代理其所有網際網路流量的 Application Load Balancer， 只會在 CloudFront 分佈上啟用自動緩解。CloudFront 分佈始終具有最多的原始流量屬性，Shield Advanced 會利用這些屬性來緩解攻擊。

設定受保護資源的運作狀態檢查，並使用它們在 Shield Advanced 保護中啟用運作狀態型偵測。如需準則，請參閱透過 Shield Advanced 和 Route 53 使用運作狀態檢查進行運作狀態型偵測。

在 Shield Advanced 建立正常、歷史流量的基準之前，在 Count 模式中啟用自動緩解。Shield Advanced 需要 24 小時到 30 天才能建立基準。

建立正常流量模式的基準需要下列項目：

如果您需要取代與受保護資源相關聯的 Web ACL，請依序進行下列變更：

Shield Advanced 不會自動將自動緩解措施從舊的 Web ACL 轉移到新的 Web ACL。

請勿從名稱開頭為 ACLs 刪除任何規則群組規則ShieldMitigationRuleGroup。如果您刪除此規則群組，則會針對與 Web ACL 相關聯的每個資源停用 Shield Advanced 自動緩解提供的保護。此外，Shield Advanced 可能需要一些時間才能收到變更通知並更新其設定。在此期間，Shield Advanced 主控台頁面將提供不正確的資訊。

如需規則群組的詳細資訊，請參閱 使用 Shield Advanced 規則群組保護應用程式層。

請勿修改名稱開頭為 的規則群組規則名稱ShieldMitigationRuleGroup。這樣做可能會干擾 Shield Advanced 透過 Web ACL 自動緩解提供的保護。

當您建立規則和規則群組時，請勿使用開頭為 的名稱ShieldMitigationRuleGroup。Shield Advanced 使用此字串來管理您的自動緩解措施。

在您的 Web ACL 規則管理中，請勿指派 10，000，000 的優先順序設定。Shield Advanced 會在新增時將此優先順序設定指派給其自動緩解規則群組規則。

將ShieldMitigationRuleGroup規則保持優先，以便在您希望它與 Web ACL 中的其他規則相關時執行。Shield Advanced 會將規則群組規則新增至優先順序為 10，000，000 的 Web ACL，以便在其他規則之後執行。如果您使用 AWS WAF 主控台精靈來管理 Web ACL，請在將規則新增至 Web ACL 之後視需要調整優先順序設定。

如果您使用 AWS CloudFormation 來管理 Web ACLs，則不需要管理ShieldMitigationRuleGroup規則群組規則。遵循 中的指引使用 AWS CloudFormation 搭配自動應用程式層 DDoS 緩解。