使用 Shield Advanced 构建基本 DoS 弹性架构 - Amazon WAF、Amazon Firewall Manager、Amazon Shield Advanced 和 Amazon Shield 网络安全分析器
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

介绍 Amazon WAF 的全新控制台体验

现在,您可以使用更新后的体验访问控制台中任意位置的 Amazon WAF 功能。有关更多详细信息,请参阅 使用更新的控制台体验

使用 Shield Advanced 构建基本 DoS 弹性架构

本页介绍了分布式拒绝服务 (DDoS) 弹性,并给出了两个示例架构。

DDoS 弹性是指您的应用程序架构能够抵御 DDoS 攻击,同时继续为合法的最终用户提供服务。高弹性的应用程序可以在攻击期间保持可用,且错误或延迟等性能指标受到的影响最小。本节展示了一些常见的示例架构,并描述了如何使用 Amazon 和 Shield Advanced 提供的 DDoS 检测和缓解功能来提高其 DDoS 弹性。

本节中的示例架构重点介绍可为您部署的应用程序提供最大 DDoS 弹性优势的 Amazon 服务。重点介绍的服务具有以下优势:

  • 访问全局分布的网络容量:Amazon CloudFront、Amazon Global Accelerator 和 Amazon Route 53 服务允许您在整个 Amazon 全局边缘网络内访问互联网和 DDoS 缓解能力。这对于缓解规模可能达到 TB 的较大容量攻击非常有用。您可以在任何 Amazon 区域运行您的应用程序,使用这些服务来保护合法用户的可用性并优化性能。

  • 针对 Web 应用程序层 DDoS 攻击向量的防护:最好结合使用应用程序扩展和 Web 应用程序防火墙 (WAF) 来缓解 Web 应用程序层 DDoS 攻击。Shield Advanced 使用来自 Amazon WAF 的 Web 请求检查日志来检测异常情况,这些异常可以自动缓解,也可以通过与 Amazon Shield 响应小组 (SRT) 合作来缓解。可通过部署的 Amazon WAF 基于速率的规则以及 Shield Advanced 自动应用程序层 DDoS 缓解来实现自动缓解。

除了查看这些示例外,还要查看并遵循 DDoS 弹性 Amazon 最佳实践中适用的最佳实践。

主题