常见 Web 应用程序的 DDoS 弹性示例 - Amazon WAFAmazon Firewall Manager、和 Amazon Shield Advanced
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

常见 Web 应用程序的 DDoS 弹性示例

您可以在任何 Amazon 区域构建 Web 应用程序,并通过该区域 Amazon 提供的检测和缓解功能获得自动 DDoS 保护。

此示例适用于使用经典负载均衡器、应用程序负载均衡器、网络负载均衡器、 Amazon Marketplace 解决方案或您自己的代理层等资源将用户路由到 Web 应用程序的架构。您可以通过在这些网络应用程序资源和您的用户之间插入 Amazon Route 53 托管区域、Amazon CloudFront 分配和 Amazon WAF 网络 ACL 来提高 DDoS 弹性。这些插入可以混淆应用程序来源,在离最终用户更近的地方提供请求,并检测和缓解应用程序层请求泛洪。使用 CloudFront 和 Route 53 向用户提供静态或动态内容的应用程序受到集成的完全内联 DDoS 缓解系统的保护,该系统可以实时缓解基础设施层的攻击。

这些架构改进到位后,您可以使用 Shield Advanced 保护您的 Route 53 托管区域和 CloudFront 分布。保护 CloudFront 分发时,Shield Advanced 会提示您关联 Amazon WAF Web ACL 并为其创建基于速率的规则,并允许您选择启用自动应用层 DDoS 缓解或主动参与。主动参与和应用程序层 DDoS 自动缓解使用您与资源关联的 Route 53 运行状况检查。要了解有关这些选项的更多信息,请参阅中的资源保护 Amazon Shield Advanced

以下参考图描绘了这种 Web 应用程序的 DDoS 弹性架构。

该图显示了一个标题为 Amazon cloud 的矩形,其左边有一组用户。云矩形内部还有另外两个并排的矩形。左边的矩形标题为 Amazon Shield Advanced,右边的矩形标题为 VPC。左边的 Amazon Shield Advanced 三角形包含三个垂直堆叠的 Amazon 图标。图标从上到下依次是 Amazon Route 53 CloudFront、Amazon 和 Amazon WAF。的图标上 CloudFront 有指向和从图标出发的箭头 Amazon WAF。用户组的右侧有一个水平伸出的箭头,该箭头会分开以指向 Route 53 和。 CloudFront在 Shield Advanced 矩形的右侧,VPC 矩形包含两个并排的图标。这些图标从左到右分别是 Elastic Load Balancing 和 Amazon Elastic Compute Cloud。该 CloudFront 图标的右侧有一个水平向外伸出的箭头,该箭头指向 Elastic Load Balancing 图标。Elastic Load Balancing 图标的右侧有一个横向伸出的箭头,指向 Amazon EC2 图标。因此,用户请求被发送到 Route 53 和 CloudFront。 CloudFront 与负载均衡器交互 Amazon WAF 并将请求发送到负载均衡器,然后负载均衡器在 Amazon EC2 上发送请求。

这种方法为您的 Web 应用程序带来的好处有:

  • 针对经常使用的基础设施层(第 3 层和第 4 层)进行 DDoS 攻击防护,无检测延迟。此外,如果资源经常成为攻击目标,Shield Advanced 会将缓解措施放置更长时间。Shield Advanced 还使用从 Web ACL (NACL) 推断出的应用程序环境,以进一步阻止上游不需要的流量。这样可以将故障隔离在更靠近其来源的地方,从而最大限度地减少对合法用户的影响。

  • 针对 TCP SYN 泛洪的防护。与 CloudFront Route 53 集成的 DDoS 缓解系统 Amazon Global Accelerator 提供了 TCP SYN 代理功能,可以挑战新的连接尝试,并且仅为合法用户提供服务。

  • 针对 DNS 应用程序层攻击的防护,因为 Route 53 负责提供权威的 DNS 响应。

  • 针对 Web 应用程序层请求泛洪的防护。当源 IP 发送的请求超出规则允许的数量时,您在 Amazon WAF Web ACL 中配置的基于速率的规则会阻止它们。

  • 如果您选择启用此选项,则可为您的 CloudFront 发行版自动缓解应用层 DDoS。通过自动 DDoS 缓解功能,Shield Advanced 在发行版的关联 Amazon WAF Web ACL 中维护了一条基于速率的规则,该规则限制了来自已知 DDoS 来源的请求量。此外,当 Shield Advanced 检测到影响应用程序运行状况的事件时,它会自动在 Web ACL 中创建、测试和管理缓解规则。

  • 与 Shield 响应小组 (SRT) 主动交互(如果您选择启用此选项)。当 Shield Advanced 检测到影响应用程序运行状况的事件时,SRT 会做出响应,并使用您提供的联系信息主动与您的安全或运营团队互动。SRT 会分析您的流量模式,并可以更新您的 Amazon WAF 规则以阻止攻击。