基本 DDoS 弹性架构示例 - Amazon WAFAmazon Firewall Manager、和 Amazon Shield Advanced
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

基本 DDoS 弹性架构示例

DDoS 弹性是指您的应用程序架构能够抵御分布式拒绝服务 (DDoS) 攻击,同时继续为合法的最终用户提供服务。高弹性的应用程序可以在攻击期间保持可用,且错误或延迟等性能指标受到的影响最小。本节展示了一些常见的示例架构,并描述了如何使用 Amazon 和 Shield Advanced 提供的 DDoS 检测和缓解功能来提高其 DDoS 弹性。

本节中的示例架构重点介绍可为您部署的应用程序提供最大 DDoS 弹性优势的 Amazon 服务。重点介绍的服务具有以下优势:

  • 访问全球分布的网络容量 — Amazon 和 Ama CloudFront zon Route 53 服务为您提供跨 Amazon 全球边缘网络的互联网访问和 DDoS 缓解能力。 Amazon Global Accelerator这对于缓解规模可能达到 TB 的较大容量攻击非常有用。您可以在任何 Amazon 地区运行您的应用程序,并使用这些服务来保护合法用户的可用性并优化性能。

  • 针对 Web 应用程序层 DDoS 攻击向量的防护:最好结合使用应用程序扩展和 Web 应用程序防火墙 (WAF) 来缓解 Web 应用程序层 DDoS 攻击。Shield Advanced 使用来自的 Web 请求检查日志 Amazon WAF 来检测异常情况,这些异常可以自动缓解,也可以通过与 Amazon 盾牌响应小组 (SRT) 合作来缓解。可通过部署的 Amazon WAF 基于速率的规则以及 Shield Advanced 自动应用程序层 DDoS 缓解来实现自动缓解。

除了查看这些示例外,还要查看并遵循 DDoS 弹性Amazon 最佳实践中适用的最佳实践。