适用于常见 Web 应用程序的 Shield Advanced DDo S 弹性架构示例 - Amazon WAF、 Amazon Firewall ManagerAmazon Shield Advanced、和 Amazon Shield 网络安全总监
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

引入全新的主机体验 Amazon WAF

现在,您可以使用更新的体验访问控制台中任意位置的 Amazon WAF 功能。有关更多详细信息,请参阅 使用更新的主机体验

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

适用于常见 Web 应用程序的 Shield Advanced DDo S 弹性架构示例

本页提供了一个示例架构,用于最大限度地提高抵御 Amazon Web 应用程序 DDo的 S 攻击的弹性。

您可以在任何 Amazon 区域构建 Web 应用程序,并从该区域 Amazon 提供的检测和缓解功能中获得自动 DDo S 保护。

此示例适用于使用经典负载均衡器、应用程序负载均衡器、网络负载均衡器、 Amazon Marketplace 解决方案或您自己的代理层等资源将用户路由到 Web 应用程序的架构。您可以通过在这些网络应用程序资源和您的用户 ACLs 之间插入 Amazon Route 53 托管区域、Amazon CloudFront 分配和 Amazon WAF Web 来提高 DDo S 弹性。这些插入可以混淆应用程序来源,在离最终用户更近的地方提供请求,并检测和缓解应用程序层请求泛洪。使用 CloudFront 和 Route 53 向用户提供静态或动态内容的应用程序受到集成的、完全内联的 DDo S 缓解系统的保护,该系统可以实时缓解基础设施层的攻击。

这些架构改进到位后,您可以使用 Shield Advanced 保护您的 Route 53 托管区域和 CloudFront 分配。保护 CloudFront 分发时,Shield Advanced 会提示您关联 Amazon WAF Web ACLs 并为其创建基于速率的规则,并允许您选择启用自动应用层 DDo S 缓解或主动参与。主动参与和自动应用层 DDo S 缓解使用您与资源关联的 Route 53 运行状况检查。要了解有关这些选项的更多信息,请参阅 中的资源保护 Amazon Shield Advanced

以下参考图描述了 Web 应用程序的 DDo S 弹性架构。

该图显示了一个标题为 Amazon cloud 的矩形,其左边有一组用户。云矩形内部还有另外两个并排的矩形。左边的矩形标题为 Amazon Shield Advanced,右边的矩形标题为 VPC。左边的 Amazon Shield Advanced 三角形包含三个垂直堆叠的 Amazon 图标。图标从上到下依次是 Amazon Route 53 CloudFront、Amazon 和 Amazon WAF。的图标上 CloudFront 有指向和从图标出发的箭头 Amazon WAF。用户组的右侧有一个水平伸出的箭头,该箭头会分开以指向 Route 53 和。 CloudFront在 Shield Advanced 矩形的右侧,VPC 矩形包含两个并排的图标。这些图标从左到右分别是 Elastic Load Balancing 和 Amazon Elastic Compute Cloud。该 CloudFront 图标的右侧有一个水平向外伸出的箭头,该箭头指向 Elastic Load Balancing 图标。Elastic Load Balancing 图标的右侧有一个横向伸出的箭头,指向亚马逊 EC2 图标。因此,用户请求被发送到 Route 53 和 CloudFront。 CloudFront 与负载均衡器交互 Amazon WAF 并将请求发送到负载均衡器,然后负载均衡器在 Amazon EC2 上发送请求。

这种方法为您的 Web 应用程序带来的好处有:

  • 防范经常使用的基础设施层(第 3 层和DDo第 4 层)的攻击,而不会出现检测延迟。此外,如果资源经常成为攻击目标,Shield Advanced 会将缓解措施放置更长时间。Shield Advanced 还使用从网络 ACLs (NACLs) 推断出的应用程序上下文来阻止上游的不需要的流量。这样可以将故障隔离在更靠近其来源的地方,从而最大限度地减少对合法用户的影响。

  • 针对 TCP SYN 泛洪的防护。与 CloudFront Route 53 集成的 DDo S 缓解系统 Amazon Global Accelerator 提供 TCP SYN 代理功能,该功能可以挑战新的连接尝试,并且仅为合法用户提供服务。

  • 针对 DNS 应用程序层攻击的防护,因为 Route 53 负责提供权威的 DNS 响应。

  • 针对 Web 应用程序层请求泛洪的防护。您在 Amazon WAF Web ACL 中配置的基于速率的规则在源发送的请求超出规则允许的数量 IPs 时将其阻止。

  • 如果您选择启用此选项,则可为您的 CloudFront 发行版自动缓解应用层 DDo S。通过自动 DDo S 缓解,Shield Advanced 在发行版的关联 Amazon WAF Web ACL 中维护基于速率的规则,该规则限制了来自已知 DDo S 源的请求量。此外,当 Shield Advanced 检测到影响应用程序运行状况的事件时,它会自动在 Web ACL 中创建、测试和管理缓解规则。

  • 与 Shield 响应小组 (SRT) 主动交互(如果您选择启用此选项)。当 Shield Advanced 检测到影响应用程序运行状况的事件时,SRT 会做出响应,并使用您提供的联系信息主动与您的安全或运营团队互动。SRT 会分析您的流量模式,并可以更新您的 Amazon WAF 规则以阻止攻击。