适用于常见 Web 应用程序的 Shield Advanced DDo S 弹性架构示例 - Amazon WAFAmazon Firewall Manager、和 Amazon Shield Advanced
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

适用于常见 Web 应用程序的 Shield Advanced DDo S 弹性架构示例

本页提供了一个示例架构,用于最大限度地提高抵御 Amazon Web 应用程序 DDo的 S 攻击的弹性。

您可以在任何 Amazon 区域构建 Web 应用程序,并从该区域 Amazon 提供的检测和缓解功能中获得自动 DDo S 保护。

此示例适用于使用经典负载均衡器、应用程序负载均衡器、网络负载均衡器、 Amazon Marketplace 解决方案或您自己的代理层等资源将用户路由到 Web 应用程序的架构。您可以通过在这些网络应用程序资源和您的用户 ACLs 之间插入 Amazon Route 53 托管区域、Amazon CloudFront 分配和 Amazon WAF Web 来提高 DDo S 弹性。这些插入可以混淆应用程序来源,在离最终用户更近的地方提供请求,并检测和缓解应用程序层请求泛洪。使用 CloudFront 和 Route 53 向用户提供静态或动态内容的应用程序受到集成的、完全内联的 DDo S 缓解系统的保护,该系统可以实时缓解基础设施层的攻击。

这些架构改进到位后,您可以使用 Shield Advanced 保护您的 Route 53 托管区域和 CloudFront 分配。保护 CloudFront 分发时,Shield Advanced 会提示您关联 Amazon WAF Web ACLs 并为其创建基于速率的规则,并允许您选择启用自动应用层 DDo S 缓解或主动参与。主动参与和自动应用层 DDo S 缓解使用您与资源关联的 Route 53 运行状况检查。要了解有关这些选项的更多信息,请参阅 中的资源保护 Amazon Shield Advanced

以下参考图描述了 Web 应用程序的 DDo S 弹性架构。

该图显示了一个标题为 Amazon cloud 的矩形,其左边有一组用户。云矩形内部还有另外两个并排的矩形。左边的矩形标题为 Amazon Shield Advanced,右边的矩形标题为 VPC。左边的 Amazon Shield Advanced 三角形包含三个垂直堆叠的 Amazon 图标。图标从上到下依次是 Amazon Route 53 CloudFront、Amazon 和 Amazon WAF。的图标上 CloudFront 有指向和从图标出发的箭头 Amazon WAF。用户组的右侧有一个水平伸出的箭头,该箭头会分开以指向 Route 53 和。 CloudFront在 Shield Advanced 矩形的右侧,VPC 矩形包含两个并排的图标。这些图标从左到右分别是 Elastic Load Balancing 和 Amazon Elastic Compute Cloud。该 CloudFront 图标的右侧有一个水平向外伸出的箭头,该箭头指向 Elastic Load Balancing 图标。Elastic Load Balancing 图标的右侧有一个横向伸出的箭头,指向亚马逊 EC2 图标。因此,用户请求被发送到 Route 53 和 CloudFront。 CloudFront 与负载均衡器交互 Amazon WAF 并将请求发送到负载均衡器,然后负载均衡器在 Amazon EC2 上发送请求。

这种方法为您的 Web 应用程序带来的好处有:

  • 防范经常使用的基础设施层(第 3 层和DDo第 4 层)的攻击,而不会出现检测延迟。此外,如果资源经常成为攻击目标,Shield Advanced 会将缓解措施放置更长时间。Shield Advanced 还使用从网络 ACLs (NACLs) 推断出的应用程序上下文来阻止上游的不需要的流量。这样可以将故障隔离在更靠近其来源的地方,从而最大限度地减少对合法用户的影响。

  • 针对 TCP SYN 泛洪的防护。与 CloudFront Route 53 集成的 DDo S 缓解系统 Amazon Global Accelerator 提供 TCP SYN 代理功能,该功能可以挑战新的连接尝试,并且仅为合法用户提供服务。

  • 针对 DNS 应用程序层攻击的防护,因为 Route 53 负责提供权威的 DNS 响应。

  • 针对 Web 应用程序层请求泛洪的防护。您在 Amazon WAF Web ACL 中配置的基于速率的规则在源发送的请求超出规则允许的数量 IPs 时将其阻止。

  • 如果您选择启用此选项,则可为您的 CloudFront 发行版自动缓解应用层 DDo S。通过自动 DDo S 缓解,Shield Advanced 在发行版的关联 Amazon WAF Web ACL 中维护基于速率的规则,该规则限制了来自已知 DDo S 源的请求量。此外,当 Shield Advanced 检测到影响应用程序运行状况的事件时,它会自动在 Web ACL 中创建、测试和管理缓解规则。

  • 与 Shield 响应小组 (SRT) 主动交互(如果您选择启用此选项)。当 Shield Advanced 检测到影响应用程序运行状况的事件时,SRT 会做出响应,并使用您提供的联系信息主动与您的安全或运营团队互动。SRT 会分析您的流量模式,并可以更新您的 Amazon WAF 规则以阻止攻击。