推出 的新主控台體驗 AWS WAF
您現在可以使用更新後的體驗,在主控台的任何位置存取 AWS WAF 功能。如需詳細資訊,請參閱使用 主控台。
本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
Application Load Balancer 的資源層級 DDoS 保護
資源層級 DDoS 保護可為 Application Load Balancer 新增立即防禦,而不會產生部署 AWS WAF 受管規則群組的費用。此標準等級的反 DDoS 保護使用 AWS 威脅情報和流量模式分析來保護 Application Load Balancer。為了識別已知的惡意來源,Anti-DDoS 保護會對直接用戶端 IP 地址和 X-Forwarded-For (XFF) 標頭執行主機上篩選。識別已知惡意來源後,會透過兩種模式之一來啟用保護:
在 DDoS 下作用中是預設保護模式,建議大多數使用案例使用。
此模式:
-
在偵測高負載條件或潛在的 DDoS 事件時自動啟用保護
-
Rate-limits 僅在攻擊條件期間來自已知惡意來源的流量
-
將正常操作期間對合法流量的影響降至最低
-
使用 Application Load Balancer 運作狀態指標和 AWS WAF 回應資料來判斷何時啟用保護
Always on 是選用模式,啟用後一律處於作用中狀態。
此模式:
-
持續防範已知惡意來源
-
Rate-limiting 即時限制來自已知惡意來源的流量
-
對 XFF 標頭中具有惡意 IPs直接連線和請求套用保護
-
對合法流量的影響可能較高,但可提供最大的安全性
資源層級 DDoS 保護封鎖的請求會記錄在 CloudWatch 日誌中,做為 LowReputationPacketsDropped或 LowReputationRequestsDenied指標。如需相關資訊,請參閱AWS WAF 核心指標和維度。
在現有的 webACL 上啟用標準 DDoS 保護
您可以在建立 Web ACL 時啟用 DDoS 保護,或更新與 Application Load Balancer 相關聯的現有 Web ACL。
注意
如果您有與 Application Load Balancer 相關聯的現有 Web ACL,則預設會在 DDoS 模式下使用 Active 啟用反 DDoS 保護。
在 AWS WAF 主控台中啟用反 DDoS 保護
登入 AWS 管理主控台 並在 https://https://console.aws.amazon.com/wafv2/homev2
開啟 AWS WAF 主控台。 -
在導覽窗格中選擇 Web ACLs,然後開啟與 Application Load Balancer 相關聯的任何 Web ACL。
-
選擇關聯的 AWS 資源。
-
在資源層級 DDoS 保護下,選擇編輯。
-
選取下列其中一個保護模式:
-
在 DDoS 下作用中 (建議) - 只有在高負載條件下才啟用保護
-
Always on - 針對已知惡意來源的 Always-on 保護
-
-
選擇儲存變更。
注意
如需建立 Web ACL 的詳細資訊,請參閱 在 中建立保護套件 (Web ACL) AWS WAF。
最佳化 Application Load Balancer 的 Web ACL 請求成本
您必須將 Web ACL 與 Application Load Balancer 建立關聯,才能啟用資源層級保護。如果您的 Application Load Balancer 與沒有組態的 Web ACL 相關聯,則不會從 AWS WAF 請求產生費用,但是, AWS WAF 不會在 CloudWatch 指標中提供 Application Load Balancer 的範例請求或報告。您可以採取下列動作來啟用 Application Load Balancer 的可觀測性功能:
-
在 中使用
Block動作或Allow動作搭配自訂請求標頭DefaultAction。如需相關資訊,請參閱插入非封鎖動作的自訂請求標頭。 -
將任何規則新增至 Web ACL。如需相關資訊,請參閱AWS WAF 規則。
-
啟用記錄目的地。如需相關資訊,請參閱設定保護套件的記錄 (Web ACL)。
-
將 Web ACL 與 AWS Firewall Manager 政策建立關聯。如需相關資訊,請參閱為 建立 AWS Firewall Manager 政策 AWS WAF。
AWS WAF 如果沒有這些組態, 將不會提供抽樣請求或發佈 CloudWatch 指標。
