Amazon Shield 和 Shield Advanced 的工作原 - Amazon WAF、 Amazon Firewall ManagerAmazon Shield Advanced、和 Amazon Shield 网络安全总监
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

引入全新的主机体验 Amazon WAF

现在,您可以使用更新的体验访问控制台中任意位置的 Amazon WAF 功能。有关更多详细信息,请参阅 使用更新的主机体验

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Amazon Shield 和 Shield Advanced 的工作原

本页解释了 Amazon Shield Standard 和之间的区别 Amazon Shield Advanced。它还描述了 Shield 可检测的攻击类别。

Amazon Shield Standard 并针对网络和传输层(第 3 层和第 4 层)以及应用层(第 7 层)的 Amazon 资源 Amazon Shield Advanced 提供针对分布式拒绝服务 (DDoS) 攻击的保护。 DDoS 攻击是一种攻击,在这种攻击中,多个受感染的系统试图向目标充斥流量。 DDoS 攻击可以阻止合法的最终用户访问目标服务,并可能由于流量过大而导致目标崩溃。

Amazon Shield 提供针对各种已知的 DDo S 攻击向量和未修补攻击向量的保护。Shield 检测和缓解旨在提供针对威胁的覆盖范围,即使服务在检测时并未明确知道这些威胁。

Shield Standard 是自动提供的,使用 Amazon时不收取额外费用。要获得更高级别的攻击防护,您可以订购 Amazon Shield Advanced。

Shield 检测到的攻击类别包括:

  • 网络容量攻击(第 3 层):这是基础设施层攻击向量的子类别。这些向量试图使目标网络或资源的容量饱和,拒绝向合法用户提供服务。

  • 网络协议攻击(第 4 层):这是基础设施层攻击向量的子类别。这些向量滥用协议来拒绝向目标资源提供服务。网络协议攻击的一个常见示例是 TCP SYN 泛洪,它会耗尽服务器、负载均衡器或防火墙等资源的连接状态。网络协议攻击也可以是容量攻击。例如,较大的 TCP SYN 泛洪可能旨在使网络容量饱和,同时还会耗尽目标资源或中间资源的状态。

  • 应用程序层攻击(第 7 层):此类攻击向量试图通过向应用程序充斥对目标有效的查询(如 Web 请求泛洪)来拒绝向合法用户提供服务。