使用 Shield Advanced 构建基本的 DDo S 弹性架构 - Amazon WAF、 Amazon Firewall Manager Amazon Shield Advanced、和 Amazon Shield 网络安全总监
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

引入全新的主机体验 Amazon WAF

现在,您可以使用更新的体验访问控制台中任意位置的 Amazon WAF 功能。有关更多详细信息,请参阅使用控制台

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

使用 Shield Advanced 构建基本的 DDo S 弹性架构

本页介绍分布式拒绝服务 (DDoS) 弹性,并介绍两个示例架构。

DDoS 弹性是指您的应用程序架构能够承受 DDo S 攻击,同时继续为合法的最终用户提供服务。高弹性的应用程序可以在攻击期间保持可用,且错误或延迟等性能指标受到的影响最小。本节显示了一些常见的示例架构,并描述了如何使用和 Shield Advanced 提供的 DDo S 检测 Amazon 和缓解功能来提高其 DDo S 弹性。

本节中的示例架构重点介绍可为您部署的应用程序提供最大的 DDo S 弹性优势的 Amazon 服务。重点介绍的服务具有以下优势:

  • 访问全球分布的网络容量 — Amazon CloudFront Amazon Global Accelerator、和 Amazon Route 53 服务为您提供访问互联网和跨 Amazon 全球边缘网络的 DDo S 缓解能力。这对于缓解规模可能达到 TB 的较大容量攻击非常有用。您可以在任何 Amazon 地区运行您的应用程序,并使用这些服务来保护合法用户的可用性并优化性能。

  • 防御 Web 应用程序第 DDo S 层攻击向量 — 最好使用应用程序规模和 Web 应用程序防火墙 (WAF) 的组合来缓解 Web 应用程序第 DDo S 层攻击。Shield Advanced 使用来自的 Web 请求检查日志 Amazon WAF 来检测异常情况,这些异常可以自动缓解,也可以通过与 Amazon 盾牌响应小组 (SRT) 合作来缓解。可通过部署的 Amazon WAF 基于速率的规则以及 Shield Advanced 自动应用层 DDo S 缓解来实现自动缓解。

除了查看这些示例外,还要查看并遵循 DDoS Resiliency Amazon 最佳实践中的适用最佳实践。

主题