常见 Web 应用程序的 Shield Advanced DDoS 弹性架构示例 - Amazon WAF、Amazon Firewall Manager、Amazon Shield Advanced 和 Amazon Shield 网络安全分析器
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

介绍 Amazon WAF 的全新控制台体验

现在,您可以使用更新后的体验访问控制台中任意位置的 Amazon WAF 功能。有关更多详细信息,请参阅 使用更新的控制台体验

常见 Web 应用程序的 Shield Advanced DDoS 弹性架构示例

本页提供了使用 Amazon Web 应用程序最大限度地提高 DDoS 攻击抵御弹性的示例架构。

您可以在任何 Amazon 区域构建 Web 应用程序,并通过 Amazon 在该区域提供的检测和缓解功能获得自动 DDoS 保护。

此示例适用于使用经典负载均衡器、应用程序负载均衡器、网络负载均衡器、Amazon Marketplace 解决方案或您自己的代理层等资源将用户路由到 Web 应用程序的架构。您可以通过在这些 Web 应用程序资源和您的用户之间插入 Amazon Route 53 托管区域、Amazon CloudFront 分配和 Amazon WAF Web ACL 来提高 DDoS 弹性。这些插入可以混淆应用程序来源,在离最终用户更近的地方提供请求,并检测和缓解应用程序层请求泛洪。使用 CloudFront 和 Route 53 向用户提供静态或动态内容的应用程序受到集成式全内联 DDoS 缓解系统的保护,该系统可以实时缓解基础设施层攻击。

这些架构改进到位后,您可以使用 Shield Advanced 保护您的 Route 53 托管区域和您的 CloudFront 分配。在保护 CloudFront 分配时,Shield Advanced 会提示您关联 Amazon WAF Web ACL 并为其创建基于速率的规则,并允许您选择启用应用程序层 DDoS 自动缓解或主动参与。主动参与和应用程序层 DDoS 自动缓解使用您与资源关联的 Route 53 运行状况检查。要了解有关这些选项的更多信息,请参阅 Amazon Shield Advanced 中的资源保护

以下参考图描绘了这种 Web 应用程序的 DDoS 弹性架构。

该图显示了一个标题为 Amazon cloud 的矩形,其左边有一组用户。云矩形内部还有另外两个并排的矩形。左边的矩形标题为 Amazon Shield Advanced,右边的矩形标题为 VPC。左边的 Amazon Shield Advanced 三角形包含三个垂直堆叠的 Amazon 图标。图标从上到下依次是 Amazon Route 53、Amazon CloudFront 和 Amazon WAF。CloudFront 的图标带有指向和来自 Amazon WAF 图标的箭头。用户组的右侧有一个水平伸出的箭头,该箭头分开后指向 Route 53 和 CloudFront 的图标。在 Shield Advanced 矩形的右侧,VPC 矩形包含两个并排的图标。这些图标从左到右分别是 Elastic Load Balancing 和 Amazon Elastic Compute Cloud。CloudFront 图标的右侧有一个横向伸出的箭头,指向 Elastic Load Balancing 图标。Elastic Load Balancing 图标的右侧有一个横向伸出的箭头,指向 Amazon EC2 图标。因此,用户请求会被发送到 Route 53 和 CloudFront。CloudFront 与 Amazon WAF 交互,并向负载均衡器发送请求,后者又在 Amazon EC2 上发送请求。

这种方法为您的 Web 应用程序带来的好处有:

  • 针对经常使用的基础设施层(第 3 层和第 4 层)进行 DDoS 攻击防护,无检测延迟。此外,如果资源经常成为攻击目标,Shield Advanced 会将缓解措施放置更长时间。Shield Advanced 还使用从 Web ACL (NACL) 推断出的应用程序环境,以进一步阻止上游不需要的流量。这样可以将故障隔离在更靠近其来源的地方,从而最大限度地减少对合法用户的影响。

  • 针对 TCP SYN 泛洪的防护。与 CloudFront、Route 53 和 Amazon Global Accelerator 集成的 DDoS 缓解系统提供了 TCP SYN 代理功能,可以质询新连接尝试,并且仅为合法用户提供服务。

  • 针对 DNS 应用程序层攻击的防护,因为 Route 53 负责提供权威的 DNS 响应。

  • 针对 Web 应用程序层请求泛洪的防护。当源 IP 发送的请求超出规则允许的数量时,您在 Amazon WAF Web ACL 中配置的基于速率的规则会对它们进行阻止。

  • 针对您的 CloudFront 分配的应用程序层 DDoS 自动缓解(如果您选择启用此选项)。通过自动 DDoS 缓解,Shield Advanced 在分发的关联 Amazon WAF Web ACL 中维护基于速率的规则,该规则限制来自已知 DDoS 来源的请求量。此外,当 Shield Advanced 检测到影响应用程序运行状况的事件时,它会自动在 Web ACL 中创建、测试和管理缓解规则。

  • 与 Shield 响应小组 (SRT) 主动交互(如果您选择启用此选项)。当 Shield Advanced 检测到影响应用程序运行状况的事件时,SRT 会做出响应,并使用您提供的联系信息主动与您的安全或运营团队互动。SRT 会分析您的流量模式,并且可以更新您的 Amazon WAF 规则以阻止攻击。