引入全新的主机体验 Amazon WAF
现在,您可以使用更新的体验访问控制台中任意位置的 Amazon WAF 功能。有关更多详细信息,请参阅 使用更新的主机体验。
本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
Amazon Shield CloudFront 和 Route 53 的缓解逻辑
本页介绍了 Shield DDo S 缓解措施如何持续检查 53 号公路 CloudFront 的流量。这些服务通过遍布全球的 Amazon 边缘站点网络运行,使您可以广泛访问Shield的 DDo S缓解能力,并从离最终用户更近的基础设施中交付应用程序。
重要
Amazon Shield Advanced 不支持 CloudFront 租户。
-
CloudFront— Shield DDo S 缓解措施仅允许对 Web 应用程序有效的流量通过该服务。这可以自动防范许多常见的 DDo S 向量,例如 UDP 反射攻击。
CloudFront 保持与应用程序来源的持续连接,通过与 Shield TCP SYN 代理功能集成,TCP SYN 洪水会自动缓解,传输层安全 (TLS) 在边缘终止。这些组合功能可确保您的应用程序源仅接收格式正确的 Web 请求,并保护其免受低层 DDo S 攻击、连接洪水和 TLS 滥用的侵害。
CloudFront 结合使用 DNS 流量方向和任播路由。这些技术通过缓解靠近源头的攻击,提供故障隔离以及确保访问容量以缓解已知最大规模的攻击,从而提高应用程序的弹性。
-
Route 53:Shield 缓解措施仅允许有效的 DNS 请求到达服务。Shield 使用可疑评分来缓解 DNS 查询洪水,该评分优先考虑已知良好的查询,并降低包含可疑或已知 S 攻击属性的查询的优先级。 DDo
Route 53 使用随机分片为每个托管区域提供一组唯一的四个解析器 IP 地址,用于和。 IPv4 IPv6每个 IP 地址对应于 Route 53 位置的不同子集。每个位置子集都由权威 DNS 服务器组成,这些服务器仅与任何其他子集中的基础设施部分重叠。这样可以确保如果用户查询因任何原因失败,则在重试时将成功提供该查询。
Route 53 使用任播路由,根据网络邻近程度,将 DNS 查询定向到最近的边缘站点。Anycast 还 DDo将 S 流量分散到许多边缘位置,从而防止攻击集中在单个位置。
除了缓解速度外, CloudFront 53号公路还为Shield的全球分布容量提供了广泛的访问权限。要利用这些功能,请将这些服务用作动态或静态 Web 应用程序的入口点。
要了解有关使用 CloudFront 和 Route 53 保护 Web 应用程序的更多信息,请参阅如何使用 Amazon CloudFront 和 Amazon Route 53 帮助保护动态 Web 应用程序免受 DDo S 攻击