Amazon Shield Advanced 功能和选项 - Amazon WAFAmazon Firewall Manager、和 Amazon Shield Advanced
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Amazon Shield Advanced 功能和选项

Amazon Shield Advanced 订阅包括以下功能和选项。这些功能是对 Amazon 已提供的 DDoS 检测和缓解功能的补充。

  • Amazon WAF 集成:Shield Advanced 使用 Amazon WAF Web ACL、规则和规则组作为其应用程序层保护的一部分。有关 Amazon WAF 的更多信息,请参阅如何 Amazon WAF 运作

    注意

    您的 Shield Advanced 订阅涵盖了为您使用 Shield Advanced 保护的资源使用标准 Amazon WAF 功能的费用。Shield Advanced 保护所涵盖的标准 Amazon WAF 费用包括每个 Web ACL 的费用、每条规则的费用以及每百万个 Web 请求检查的基本价格,最多 1,500 个 WCU,不超过默认正文大小。

    您的 Shield Advanced 订阅不包括对未使用 Shield Advanced 进行保护的资源使用 Amazon WAF。它也不包括受保护资源的任何额外非标准 Amazon WAF 成本。非标准 Amazon WAF 成本的示例包括机器人控制功能、CAPTCHA 规则操作、使用 1,500 个以上 WCU 的 Web ACL 以及检查超出默认正文大小的请求正文的成本。Amazon WAF 定价页面上提供了完整的列表。

    有关完整信息和定价示例,请参阅 Shield 定价Amazon WAF 定价

  • 应用程序层 DDoS 自动缓解:您可以将 Shield Advanced 配置为自动响应,以缓解对受保护资源的应用程序层(第 7 层)攻击。通过自动缓解,Shield Advanced 对来自已知 DDoS 来源的请求强制执行 Amazon WAF 速率限制,并自动添加和管理自定义 Amazon WAF 保护以应对检测到的 DDoS 攻击。您可以配置自动缓解以计算或阻止作为攻击一部分的 Web 请求。

    有关更多信息,请参阅 Shield Advanced 应用程序层 DDoS 自动缓解

  • 运行状况检测:您可以将 Amazon Route 53 运行状况检查与 Shield Advanced 结合使用,为事件检测和缓解提供信息。Health checks 会根据您的规格监控您的应用程序,在满足您的规格时报告运行状况正常,不符合规格时报告运行状况不佳。在 Shield Advanced 中使用运行状况检查有助于防止误报,并在受保护的资源状况不佳时更快地进行检测和缓解。您可以对除 Route 53 托管区域之外的任何资源类型使用运行状况检测。Shield Advanced 主动交互仅适用于启用了运行状况检测的资源。

    有关更多信息,请参阅 使用运行状况检查配置运行状况检测

  • 保护组:您可以使用保护组来创建受保护资源的逻辑分组,以增强对整个组的检测和缓解。您可以定义保护组成员资格的条件,以便自动包括新受保护的资源。受保护资源可归属于多个保护组。

    有关更多信息,请参阅 Amazon Shield Advanced 保护组

  • 增强对 DDoS 事件和攻击的可见性:Shield Advanced 允许您访问高级的实时指标和报告,从而全面了解受保护Amazon资源的事件和攻击。您可以通过 Shield Advanced API 和控制台以及亚马逊 CloudWatch 指标访问这些信息。

    有关更多信息,请参阅 对 DDoS 事件的可见性

  • 通过 Amazon Firewall Manager 集中管理 Shield Advanced 保护:您可以使用 Firewall Manager 自动对您的新账户和资源应用 Shield Advanced 保护,并将 Amazon WAF 规则部署到您的 Web ACL。Firewall Manager Shield Advanced 保护策略包含在内,Shield Advanced 客户无需额外付费。您还可以使用带有 Amazon Simple Notification Service (SNS) 主题或 Amazon Security Hub 的 Firewall Manager 为您的账户集中管理 Shield Advanced 监控活动或。

    有关使用 Firewall Manager 管理 Shield Advanced 保护的更多信息,请参阅 Amazon Firewall ManagerAmazon Shield Advanced 政策。有关 Firewall Manager 定价的更多信息,请参阅 Amazon Firewall Manager 定价

  • Amazon Shield Response Team (SRT):SRT 在保护 Amazon、Amazon及其子公司方面拥有丰富的经验。作为 Amazon Shield Advanced 客户,在影响应用程序可用性的 DDoS 攻击期间,您可以随时联系 SRT 寻求帮助。您还可以使用 SRT 为您的资源创建和管理自定义缓解措施。要使用 SRT 的服务,您还必须订阅 Business Support Plan企业支持计划

    有关更多信息,请参阅 Shield 响应小组 (SRT) 支持

  • 主动参与:通过主动参与,如果您与受保护资源关联的 Amazon Route 53 运行状况检查在 Shield Advanced 检测到的事件中显示状况不佳,则 Shield 响应团队 (SRT) 会直接与您联系。这样一来,当您的应用程序可用性可能受到疑似攻击影响时,您可以更快地与专家联系。

    有关更多信息,请参阅 配置主动参与

  • 成本保护机会:Shield Advanced 提供了一些成本保护,可防止受保护资源因受到 DDoS 攻击而导致 Amazon 账单激增。这可能包括对 Shield Advanced 数据传出 (DTO) 使用费峰值的保障。Shield Advanced 以 Shield Advanced 服务积分的形式提供任何成本保护。

    有关更多信息,请参阅 在 Amazon Shield Advanced 中申请积分