引入全新的主机体验 AWS WAF
现在,您可以使用更新的体验访问控制台中任意位置的 AWS WAF 功能。有关更多详细信息,请参阅使用控制台。
本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
常见 Web 应用程序的 Shield Advanced DDoS 弹性架构示例
本页提供了一个示例架构,用于最大限度地提高抵御 AWS Web 应用程序的 DDoS 攻击的弹性。
您可以在任何 AWS 区域构建 Web 应用程序,并通过该区域 AWS 提供的检测和缓解功能获得自动 DDoS 保护。
此示例适用于使用经典负载均衡器、应用程序负载均衡器、网络负载均衡器、 AWS Marketplace 解决方案或您自己的代理层等资源将用户路由到 Web 应用程序的架构。您可以通过在这些网络应用程序资源和您的用户之间插入 Amazon Route 53 托管区域、Amazon CloudFront 分配和 AWS WAF 网络 ACL 来提高 DDoS 弹性。这些插入可以混淆应用程序来源,在离最终用户更近的地方提供请求,并检测和缓解应用程序层请求泛洪。使用 CloudFront 和 Route 53 向用户提供静态或动态内容的应用程序受到集成的完全内联 DDoS 缓解系统的保护,该系统可以实时缓解基础设施层的攻击。
这些架构改进到位后,您可以使用 Shield Advanced 保护您的 Route 53 托管区域和 CloudFront 分配。保护 CloudFront 分发时,Shield Advanced 会提示您关联 AWS WAF Web ACL 并为其创建基于速率的规则,并允许您选择启用自动应用层 DDoS 缓解或主动参与。主动参与和应用程序层 DDoS 自动缓解使用您与资源关联的 Route 53 运行状况检查。要了解有关这些选项的更多信息,请参阅 中的资源保护 AWS Shield Advanced。
以下参考图描绘了这种 Web 应用程序的 DDoS 弹性架构。
这种方法为您的 Web 应用程序带来的好处有:
-
针对经常使用的基础设施层(第 3 层和第 4 层)进行 DDoS 攻击防护,无检测延迟。此外,如果资源经常成为攻击目标,Shield Advanced 会将缓解措施放置更长时间。Shield Advanced 还使用从 Web ACL (NACL) 推断出的应用程序环境,以进一步阻止上游不需要的流量。这样可以将故障隔离在更靠近其来源的地方,从而最大限度地减少对合法用户的影响。
-
针对 TCP SYN 泛洪的防护。与 CloudFront Route 53 集成的 DDoS 缓解系统 AWS Global Accelerator 提供了 TCP SYN 代理功能,可以挑战新的连接尝试,并且仅为合法用户提供服务。
-
针对 DNS 应用程序层攻击的防护,因为 Route 53 负责提供权威的 DNS 响应。
-
针对 Web 应用程序层请求泛洪的防护。当源 IP 发送的请求超出规则允许的数量时,您在 AWS WAF Web ACL 中配置的基于速率的规则会阻止它们。
-
如果您选择启用此选项,则可为您的 CloudFront 发行版自动缓解应用层 DDoS。通过自动 DDoS 缓解功能,Shield Advanced 在发行版的关联 AWS WAF Web ACL 中维护了一条基于速率的规则,该规则限制了来自已知 DDoS 来源的请求量。此外,当 Shield Advanced 检测到影响应用程序运行状况的事件时,它会自动在 Web ACL 中创建、测试和管理缓解规则。
-
与 Shield 响应小组 (SRT) 主动交互(如果您选择启用此选项)。当 Shield Advanced 检测到影响应用程序运行状况的事件时,SRT 会做出响应,并使用您提供的联系信息主动与您的安全或运营团队互动。SRT 会分析您的流量模式,并可以更新您的 AWS WAF 规则以阻止攻击。
